¿Qué tipo de ataque se evita al ejecutar el código enviado por el usuario en un trabajador web de Javascript? ¿Previenen ataques como XSS, o es mejor usar algún otro método de sandbox para protegerse contra la mayoría de las vulnerabilidades?
¿Qué tipo de ataque se evita al ejecutar el código enviado por el usuario en un trabajador web de Javascript? ¿Previenen ataques como XSS, o es mejor usar algún otro método de sandbox para protegerse contra la mayoría de las vulnerabilidades?
Parece que WebWorkers no es una característica de seguridad, sino simplemente una forma de ejecutar subprocesos en segundo plano en el lado del cliente de la aplicación web. Esto significa que no te protegen de ningún ataque existente, sino que pueden introducir nuevos vectores de ataque :(
Interesante en este sentido podría ser la comunicación entre los trabajadores y el hilo principal: están reutilizando la interfaz postMessage que se usó originalmente para comunicarse entre diferentes marcos. Al usar la misma interfaz, también agrega el mismos problemas de seguridad . Esto significa que debe verificar el origen de un mensaje recibido en su controlador de eventos de mensajes. El código de ejemplo que encontrará para los trabajadores web generalmente no hace esto.
Lea otras preguntas en las etiquetas xss javascript sandbox