web-dev-qa-db-ja.com

スクリプトを安全に許可し、XSSを防止する方法は?

XSSに対して安全でありながら、WebアプリケーションでJavaScriptを許可する最良の方法を見つけようとしています。

サイト管理者は、JavaScriptを挿入してサイトテンプレートを制御し、これをサイトユーザーに公開する権限を持っています。ただし、サイトユーザーはJavaScriptを挿入できません。

JavaScriptを許可するとXSSの脆弱性が開かれ、サイト管理者がサイトユーザーから機密情報を盗むことができることを知っています。サイト管理者にJavaScriptを許可するより良い方法はありますか?

5
App Sec Geek

それらをクロスドメインのiframeで実行するか、 Google Caja のようなものを使用してそれらを分離します。