HTML游乐场
HTML游乐场
提问于 2022-09-19 15:40:40
我正在创建一个用于创建web工具的服务。该工具是一个带有JS引擎的生成的网页。用户可以通过用户界面与JS引擎交互。用户界面可以是现成的,也可以是自定义的.
思想上
使用自定义用户界面是危险的。这种方法会产生可能的安全问题(例如XSS)。
请为HTML操场的实现提供更有效的解决方案。
回答 1
Software Engineering用户
回答已采纳
发布于 2022-09-19 16:41:46
在HTML游乐场中,您希望用户能够执行任意代码,也可以在其他人访问时执行--设计持久的XSS。但是,您需要确保用户的代码在与站点的用户界面不同的安全上下文中运行。您可以通过使用iframe来实现这一点:
- 用户生成的内容可以运行在与您站点的其他部分不同的原产地上。
- 无法访问主站点cookie
- 主站点可以使用限制性内容安全策略
- 但是你仍然需要通常的XSRF防御
- iframe可以声明适当的
allow="..."特性策略和sandbox="..."属性。- 例如,您可以禁用全屏访问。
请注意,HTML游乐场在许多方面与宿主服务是无法区分的。除了技术上的安全措施,你可能也想考虑一下反滥用的措施。
页面原文内容由Software Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://softwareengineering.stackexchange.com/questions/441125
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号