Estoy creando un sitio web que permite a las personas crear su propio sitio usando un subdominio. ¿Existen implicaciones de seguridad al permitir que las personas agreguen javascript personalizado a sus páginas? Si es así, ¿cuáles? XSS? ¿Oler galletas? ¿Puedo hacer que funcione desinfectando el html?
Ahora mismo lo estoy rechazando, pero sería genial dejar que las personas decidan por sí mismas. He notado que las páginas alojadas en Github tienen usuario ingresado en javascript en ellas.
La La misma política de origen para el acceso DOM aísla subdominios , por lo tanto, el impacto de XSS está aislado a un subdominio específico. El Política del mismo origen para el ámbito de las cookies aísla los subdominios en los que no pueden leer ni escribir Cookies de otro subdominio. Solo asegúrate de que tu sitio principal sea www.site.com y que no se aplique ninguna cookie a *.site.com , ya que sería accesible (si fuera un HTTPOnly cookie , no sería accesible desde JavaScript independientemente de su alcance).
Permitir que el usuario ingrese Javascript es prácticamente la definición de Cross Site Scripting (XSS).
La historia del gusano Samy Myspace es una excelente ilustración de lo que puede suceder cuando un usuario puede cargar Javascript en su sitio. Myspace quería permitir HTML desinfectado, pero el hacker encontró una manera de evitarlo. Puso un poco de Javascript que hizo que cualquiera que viera su perfil lo "amigoe" y publicara el javascript en su propio perfil.
Lea otras preguntas en las etiquetas javascript