[英]textarea sets content of iframe - security with CodeMirror
我正在使用CodeMirror來制作類似於JSFiddle的項目。 從CodeMirror引用此示例文件 ,我正在從文本區域渲染完整的HTML內容(包括來自外部javascript文件的腳本標簽)。
在本地運行都很好,但是在部署之前,從用戶定義的輸入呈現完整的HTML頁面是否存在安全威脅? 上面的示例如何不會帶來安全威脅?
如果您在應用程序域內執行用戶定義的輸入,則可能是一個安全問題。
例如,1)JS Bin在另一個域上執行用戶代碼。 給定的代碼將使其清楚。 alert(document.URL)
https://jsbin.com/xezusur/edit?html,js,輸出
2)即使是JS Fiddle,也可以在不同網址的iframe中執行代碼https://jsfiddle.net/djadmin/zrks3reg/
正如您在以上兩個示例中看到的那樣,用戶代碼在不同的域上執行。 因此,由於相同來源策略,它防止了用戶輸入訪問不同域上的資源。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.