Мне любопытно, что защищает www.jsfiddle.net от атак на основе XSS? У них есть поддержка учетных записей, поэтому очевидно, что любой скрипт, который они запускают в браузере, может творить зло.
Что делает JSFiddle безопасным от XSS-атак?
comment
Код фактически выполняется в iframe, поэтому он не может напрямую получить доступ к родителю.
- person JohnP schedule 18.07.2011
comment
Ах, значит, он работает в iframe, который имеет другое происхождение? В том, что все? Сделайте это ответом, чтобы я мог принять его :)
- person Tower schedule 18.07.2011
comment
Я голосую за то, чтобы закрыть этот вопрос как не относящийся к теме, поскольку он принадлежит security.stackexchange.com
- person Shankar Narayana Damodaran schedule 08.07.2019
Ответы (1)
Если вы посмотрите на панель результатов для скрипки, вы заметите, что на самом деле это IFRAME, указывающий на другой домен, что означает, что сработает встроенная защита, которая обычно предотвращает доступ к родительскому окну.
Например, эта скрипка: http://jsfiddle.net/jomanlk/y9zCK/
На самом деле обслуживается: http://fiddle.jshell.net/jomanlk/y9zCK/show/< /а>
person
JohnP
schedule
18.07.2011
Я хотел бы добавить, что вы можете войти на fiddle.jshell.net. Хакеры могут злоупотреблять этим, перенаправляя на эту страницу, прося пользователя войти в систему, а затем шпионя за идентификатором сеанса.
- person Yogu; 24.11.2011
Как вы можете полностью предотвратить такой взлом jsfiddle?
- person Lance Pollard; 02.02.2013
