是什么让JSFiddle免受基于XSS的攻击？

Tow*_*wer 23 javascript security xss jsfiddle

我很好奇,是什么让www.jsfiddle.net免受基于XSS的攻击？他们对帐户有一个支持,所以他们在浏览器上运行的任何脚本都可能做坏事.

如果你看一个小提琴的结果窗格,你会注意到它实际上是指向不同域的IFRAME,这意味着内置安全性将启动,这通常会阻止访问父窗口.

这个小提琴例如:http://jsfiddle.net/jomanlk/y9zCK/

实际上是由:http://fiddle.jshell.net/jomanlk/y9zCK/show/

我想补充一点,您可以登录http://fiddle.jshell.net/.这可能被黑客重定向到该页面滥用,要求用户登录然后监视会话ID. (4认同)

归档时间：	14 年，7 月前
查看次数：	1789 次
最近记录：	12 年，7 月前

反应 - 改变不受控制的输入 308

如何在JavaScript中模拟target ="_ blank" 148

Unicoin挖掘和画布点击 76

document.createElement("script")同步 73

TypeScript React.FC<Props> 混淆 70

jQuery可以检查输入内容是否已更改？ 49

抓住所有未处理的javascript承诺拒绝 45

从用户电子邮件创建哈希/令牌以进行电子邮件验证 4

Java Security Manager是否会降低性能？ 2

我的Salting和SHA-512哈希密码的实现是否正确/安全？ 2

如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件？ 4888

如何在Web表单字段/输入标记上禁用浏览器自动完成？ 2680

在git中推送提交时,src refspec master与any不匹配 2472

Bower和npm有什么区别？ 1723

在单个SQL查询中插入多行？ 1604

在Vim中复制整行 1555

如何克隆仅Git存储库的子目录？ 1298

漂亮的git分支图 1290

"this"关键字如何运作？ 1243

如何将参数传递给批处理文件？ 1100