olt*_*eba 6 javascript security ajax embedding
我正在尝试找到以下情况的解决方案:
问题是,通过这种方式,插件还可以调用以获取用户信息.(因为插件的代码是嵌入式的,它的域名将与主要网站相同,代码将完全在我的网站上).
所以问题是:如何避免它,并准确控制插件可以获得有关用户的信息?
该插件不会被检查,并且可以随时更改,因此阅读所有插件代码不是解决方案.
我对任何提案持开放态度,可能简单有效,并且可能不会将整个插件放在iframe中.
- 编辑:当有旧方法创建应用程序时,Facebook如何做?(现在它只是iframe,但有FBML应用方式,他们是如何获得这种安全的?)
您是否听说过允许执行任意代码的漏洞?哪种攻击是最危险的攻击之一?
好吧,在这种情况下,您明确且自愿地允许任意代码执行,并且几乎没有办法对其进行沙箱处理。
1)您可以在 iframe 中从不同的子域运行“插件”,以便将其沙箱化,正如您所提到的。这样插件就无法访问您的 cookie 和脚本。
请注意,如果您希望插件与来自该域的服务进行通信,那么它将是跨域通信。因此,您要么需要求助于 JSONP,要么使用新的跨域访问控制规范。(即使用您的 Web 服务响应返回适当的标头 -- Access-Control-Allow-Origin "plugins.domain.com")
2) 创建您自己的简单脚本语言并公开您想要的内容。这显然很乏味,即使你设法做到这一点,插件开发人员也将经历一个学习曲线。
| 归档时间: |
|
| 查看次数: |
814 次 |
| 最近记录: |