Jestem ciekawy, co sprawia, że www.jsfiddle.net zabezpiecza się przed atakami opartymi na XSS? Mają wsparcie dla kont tak jasno, że każdy skrypt uruchamiany w przeglądarce może robić złe rzeczy.Co sprawia, że JSFiddle jest bezpieczny z ataków opartych na XSS?
Jeśli spojrzysz na okienko wyników dla skrzypiec, zauważysz, że jest to właściwie IFRAME wskazujące na inną domenę, co oznacza, że wbudowane zabezpieczenia spowodują, że ogólnie uniemożliwia dostęp do okna nadrzędnego.
Ten skrzypce na przykład: http://jsfiddle.net/jomanlk/y9zCK/
faktycznie podawane przez: http://fiddle.jshell.net/jomanlk/y9zCK/show/
Chciałbym dodać, że możesz się zalogować na http://fiddle.jshell.net/. Może to być nadużywane przez hakerów przekierowujących na tę stronę, prosząc użytkownika o zalogowanie się, a następnie śledzenie identyfikatora sesji. – Yogu
Jak można w pełni zapobiec temu hakowaniu na jsfiddle? –
Kod jest uruchomiony w iframe, więc nie może bezpośrednio podjąć dostępu rodzica. – JohnP
Ah, więc działa w ramach elementu iframe, który ma inne pochodzenie? Czy to wszystko? Niech to będzie odpowiedź, więc mogę ją zaakceptować :) – Tower