自分のサーバから配信されたページ内のiframeページ(サードパーティのサーバでホストされている)にスクリプトを挿入したい(wysiwyg
アプリの変更を視覚化する) 。サードパーティのiframeでスクリプトの注入と実行を保護する
「ターゲット」ページに小さなスタブスクリプトがあるので、渡されたものを任意のスクリプトで実行できる方法があると思います。明らかに、これは安全な何かのようには聞こえません。なぜなら、いくつかのきれいなXSSの攻撃ベクトルを開くからです。私がそれを確保するために持っていたアイデアの1つは、実行したいスクリプトと一緒に何らかのトークンを渡すことでした。スタブクライアントコードはサーバでチェックし、スクリプトを実行します。これは理にかなっていますか?誰かが私に先例を教えてくれるだろうか?あなたは、実際のiframe内に少量のコードを制御するように
感謝
これを解決する他の方法はありますか? iframeソリューションは危険に思えます。 –
それはちょっとしていますが、私は変更のライブを表示する必要があるので、私が考えることができる唯一の他のソリューションは私のサーバー経由でページをプロキシすることです。それはクールになるつもりはありません(URLの書き直し、たくさんの負荷など) – malangi
"ターゲット"ページでこの提案されたスクリプトにどうやって行きますか?ブラウザはあなたにまったく触れることはありません。 – Pointy