¿Cómo permitir scripts de forma segura pero evitando XSS?

3

Estamos tratando de encontrar la mejor manera de permitir JavaScript en una aplicación web mientras nos protegemos contra XSS.

Los administradores del sitio tienen el privilegio de insertar JavaScript para controlar las plantillas del sitio y publicar esto para los usuarios del sitio. Sin embargo, los usuarios del sitio no pueden insertar JavaScript.

Sé que permitir que JavaScript abra una vulnerabilidad XSS, permitiendo a los administradores del sitio robar información confidencial de los usuarios del sitio. ¿Hay una mejor manera de permitir JavaScripts para los administradores del sitio?

    
pregunta App Sec Geek 06.11.2018 - 01:01
fuente

1 respuesta

0

Puede ejecutarlos en un iframe de dominios cruzados, o usar algo como Google Caja para aislarlos.

    
respondido por el Joseph Sible 06.11.2018 - 01:48
fuente

Lea otras preguntas en las etiquetas