XSSに対して安全でありながら、WebアプリケーションでJavaScriptを許可する最良の方法を見つけようとしています。
サイト管理者は、JavaScriptを挿入してサイトテンプレートを制御し、これをサイトユーザーに公開する権限を持っています。ただし、サイトユーザーはJavaScriptを挿入できません。
JavaScriptを許可するとXSSの脆弱性が開かれ、サイト管理者がサイトユーザーから機密情報を盗むことができることを知っています。サイト管理者にJavaScriptを許可するより良い方法はありますか?
それらをクロスドメインのiframeで実行するか、 Google Caja のようなものを使用してそれらを分離します。