html de entrada de usuario de sandboxing

Navega tus respuestas
2

Quiero representar el HTML cargado por el usuario (que posiblemente contenga muchos archivos con imágenes, css personalizados, js personalizados, todos cargados en un archivo zip) para propósitos de vista previa. El usuario que envíe el html será el único que acceda a él.

Quiero que el HTML del usuario esté aislado del resto de mi sitio web (sin acceso a javascript, sin herencia de CSS, sin acceso a los otros archivos del servidor).

Leí información sobre iframe en otra pregunta , y estoy considerando el uso de iframe del cuadro .

Me pregunto si está lo suficientemente seguro o si hay mejores opciones.

    
pregunta luxcem 29.08.2013 - 10:35
fuente

1 respuesta

2

Si no confía en los iframes de espacio aislado, también podría usar un nombre de host separado para cada paquete. Por ejemplo, configure el host virtual con * .previews.specialdomain.tld y muestre cada vista previa en un nombre de host diferente generado automáticamente. A continuación, puede ofrecer un enlace para previsualizar con 

<a target="_blank" ...

De esa manera, los usuarios verán la vista previa como una página completa en lugar de iframe, y volverán a su vista original después de cerrarla (o al cambiar a la pestaña / ventana anterior).

A pesar de que Google es un autor convincente para el Framework framework , parece poco probable que realmente puedan prevenir todas las vulnerabilidades de seguridad. y no romper el código JS en algunos casos.

    
respondido por el Olli 30.01.2014 - 17:46
fuente

Lea otras preguntas en las etiquetas

¿Alternativa a cobrar 2 pequeñas cantidades por la autenticación de tarjetas de crédito? Agregar la propia implementación de criptografía en Android