Estoy creando un pequeño parque infantil para que las personas escriban y prueben su JavaScript en mi sitio web. Sé que ya existen sitios web como jsfiddle pero es solo por diversión y por intentar algo nuevo.
Ahora sé que la gente puede hackear mi sitio bastante mal con XSS y otras cosas, así que se me ocurrieron algunas formas de evitar el caos:
-
Como de costumbre, las personas escriben su JavaScript y HTML en un formulario. Es puro texto. Nada funcional.
-
Cuando desee probar el código, los datos se envían desde www.A.com a www.B.com
-
En ese dominio, los datos se escriben en un iframe con la función de zona de pruebas activada sin la opción "permitir navegación superior".
-
El iframe se envía de vuelta a www.A.com
-
www.A.com recibe iframe y lo agrega como niño al DOM.
-
El usuario ve el iframe y puede interactuar con él.
¿Esto es lo suficientemente seguro? ¿O me estoy perdiendo algo crucial?