¿Cuáles son las medidas de seguridad tomadas en los sitios web que permiten las secuencias de comandos en línea como jsfiddle y codepen?

6

Tal como se pregunta en el título, me he estado preguntando esto por un tiempo. Estos sitios permiten al usuario escribir scripts y almacenarlos también. ¿No son vulnerables a ataques como los scripts entre sitios o cualquier otro ataque similar? Si es así, ¿cómo se protegen a sí mismos ya sus clientes?

Por ejemplo, alguien escribe un código malicioso y lo comparte con otros que se hacen pasar por alguien que necesita ayuda. Ahora, los miembros de la pila, por supuesto, ejecutarán el código para comprobar cuál es el problema. ¿No es eso jugar directamente en las manos del atacante?

    
pregunta Digvijayad 09.11.2017 - 02:26
fuente

1 respuesta

3

Lo que necesita preocuparse aquí es XSS. En general, las secuencias de comandos no son (se supone que son) peligrosas, ya que el navegador limita lo que un atacante puede hacer de todos modos. Al menos no puede hacer nada en JSFiddle que no pueda hacer en cualquier otra página web.

Pero ¿qué pasa con el XSS? Si observa la fuente de JSFiddle, encontrará esto:

<iframe sandbox="allow-forms allow-scripts allow-same-origin allow-modals allow-popups" allowfullscreen="" name="result" frameborder="0">

Así que el área donde se ejecuta el código está contenida en un iframe. La URL de esa página es https://fiddle.jshell.net/_display/ . Dado que se encuentra en un dominio diferente al de JSFiddle, no puede acceder a ninguna de las cookies de JSFiddle. Entonces ese dominio no tiene sentido para XSS, porque no contiene nada de valor. Es solo una página que devuelve todos los scripts que usted POSTÓ.

    
respondido por el Anders 09.11.2017 - 08:02
fuente

Lea otras preguntas en las etiquetas