簡體 English 中英

textarea設置iframe的內容-CodeMirror的安全性

[英]textarea sets content of iframe - security with CodeMirror

原文 2016-12-27 03:07:46 1 1 javascript/ html/ security/ codemirror

我正在使用CodeMirror來制作類似於JSFiddle的項目。 從CodeMirror引用此示例文件，我正在從文本區域渲染完整的HTML內容（包括來自外部javascript文件的腳本標簽）。

在本地運行都很好，但是在部署之前，從用戶定義的輸入呈現完整的HTML頁面是否存在安全威脅？ 上面的示例如何不會帶來安全威脅？

如果您在應用程序域內執行用戶定義的輸入，則可能是一個安全問題。

例如，1）JS Bin在另一個域上執行用戶代碼。 給定的代碼將使其清楚。 alert(document.URL) https://jsbin.com/xezusur/edit?html,js，輸出

2）即使是JS Fiddle，也可以在不同網址的iframe中執行代碼https://jsfiddle.net/djadmin/zrks3reg/

正如您在以上兩個示例中看到的那樣，用戶代碼在不同的域上執行。 因此，由於相同來源策略，它防止了用戶輸入訪問不同域上的資源。

[英]Codemirror editor is not loading content of the textarea

[英]Place hyperlinks in CodeMirror textarea

[英]Add CodeMirror to Skulpt Textarea

[英]onresize event in CodeMirror textarea

[英]CodeMirror: textarea setValue() pro

[英]Upload file into Codemirror textarea

[英]Getting CodeMirror to follow a TextArea

[英]JavaScript / CodeMirror - refresh textarea

[英]Content Security Policy with an Iframe block

[英]Remove content of textarea when iframe is done?

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Codemirror編輯器未加載textarea的內容將超鏈接放置在CodeMirror文本區域中將CodeMirror添加到Skulpt Textarea CodeMirror textarea 中的 onresize 事件 CodeMirror：textarea setValue（）專業版將文件上傳到Codemirror textarea 讓CodeMirror遵循TextArea JavaScript / CodeMirror - 刷新textarea 帶有 Iframe 塊的內容安全策略 iframe完成后刪除textarea的內容？

相關標簽