¿Mejores prácticas para integrar javascript externo?

8

Estoy buscando algunos consejos estándar sobre cómo integrar JavaScript externo en un sitio web. Por ejemplo, en mywebsite.com :

<script src='//externalsite.com/js/script.js'></script>

La cosa es: si externalsite.com es hackeado, mywebsite.com está en riesgo. Y este JavaScript no requiere acceso al contenido mywebsite.com (es, por ejemplo, un chatbox).

¿Cuál sería la forma correcta de hacerlo? ¿Es iFrame el camino a seguir?

Para aclarar, el JS es un asistente virtual que "conversa" con el visitante. El sitio externo está administrando el código JS y, lo que es más importante, los diálogos. Estoy preocupado por XSS en los diálogos.

    
pregunta Choumarin 28.05.2013 - 17:56
fuente

2 respuestas

5

Una cadena es tan fuerte como su eslabón más débil.

Así que asegúrese de confiar en su Red de entrega de contenido (CDN). Te garantizo que es más difícil para un pirata informático penetrar en los servidores de Google que en los tuyos. Cloudflare es otro ejemplo de un CDN preocupado por la seguridad.

Contenido mixto y La insuficiente seguridad de la capa de transporte puede comprometer las cuentas. La transmisión de cualquier página o script sobre texto sin formato puede llevar a un compromiso. Una etiqueta de origen segura sería src=https:// , nunca se debe permitir nada más.

    
respondido por el rook 28.05.2013 - 21:54
fuente
4

La mejor manera de abordar esto es obtener una copia del JavaScript de un tercero y luego alojarlo localmente en su sitio. De esa manera, no corres el riesgo de que un tercero lo afecte directamente (aunque todavía podría, dependiendo de lo que piense JavaScript).

Si no es así, creo que estaría dispuesto a realizar una auditoría / revisión de la seguridad de los sistemas de terceros para garantizar que el nivel de seguridad sea igual o superior al del sistema que utiliza JavaScript.

    
respondido por el Rоry McCune 28.05.2013 - 21:33
fuente

Lea otras preguntas en las etiquetas