Si proporciono un sitio web público para los usuarios en mi sitio web en su propio subdominio (por ejemplo, bob.myapp.com
) bajo su propio control, ¿puedo permitir que ejecuten JavaScript arbitrario sin poner en riesgo mi servidor de aplicaciones principal (por ejemplo,% código%)? Los usuarios podrían poner sus propios archivos myapp.com
en la raíz pública de sus subdominios.
Tengo un extremadamente conocimiento limitado de la Política de JS Same Origin, pero creo que los diferentes subdominios cuentan como diferentes orígenes. Por lo tanto, si mi aplicación principal ( *.js
) está protegida desde XSS, etc., ¿hay algo específico por lo que deba preocuparme por los subdominios de los usuarios de los que no tendría que preocuparme por ninguna otra fuente externa?
¡Gracias!