web-dev-qa-db-ja.com

jsfiddleやcodepenなどのオンラインスクリプトを許可するWebサイトで行われているセキュリティ対策は何ですか?

タイトルで尋ねたように、これはしばらくの間疑問に思っています。これらのサイトでは、ユーザーがスクリプトを作成して保存することもできます。クロスサイトスクリプティングやその他の同様の攻撃などの攻撃に対して脆弱ではありませんか?もしそうなら、彼らはどのように彼ら自身と彼らのクライアントを守りますか?.

たとえば、誰かが悪意のあるコードを書き、助けを必要とする誰かになりすました他の人とコードを共有します。これで、stackのメンバーはもちろん、コードを実行して問題が何であるかを確認します。それは直接攻撃者の手に渡っていませんか?

7
Digvijayad

ここで心配する必要があるのはXSSです。ブラウザは攻撃者がとにかく実行できることを制限するため、一般的にスクリプトは危険ではありません(想定されています)。少なくとも、JSFiddleでは、他のWebページでは実行できないことは何も実行できません。

しかし、XSSはどうでしょうか? JSFiddleのソースを見ると、次のことがわかります。

<iframe sandbox="allow-forms allow-scripts allow-same-Origin allow-modals allow-popups" allowfullscreen="" name="result" frameborder="0">

したがって、コードが実行される領域はiframeに含まれています。そのページのURLはhttps://fiddle.jshell.net/_display/。 JSFiddle自体とは異なるドメインにあるため、JSFiddle Cookieにはアクセスできません。そのため、そのドメインには値が含まれていないため、XSSは無意味です。これは、あなたにスクリプトを返すページですPOST.

4
Anders