Tôi tò mò, điều gì làm cho an toàn của các cuộc tấn công dựa trên XSS www.jsfiddle.net? Họ có hỗ trợ cho các tài khoản để rõ ràng bất kỳ tập lệnh nào họ chạy trên trình duyệt đều có thể làm những điều xấu xa.Điều gì làm cho JSFiddle an toàn khỏi các cuộc tấn công dựa trên XSS?
Nếu bạn nhìn vào ngăn kết quả cho một fiddle bạn sẽ nhận thấy rằng nó thực sự là một IFRAME trỏ đến một tên miền khác có nghĩa là xây dựng trong an ninh sẽ đá trong đó thường ngăn chặn truy cập vào cửa sổ cha mẹ.
này fiddle ví dụ: http://jsfiddle.net/jomanlk/y9zCK/
là thực sự được phục vụ bởi: http://fiddle.jshell.net/jomanlk/y9zCK/show/
Tôi muốn thêm rằng bạn có thể đăng nhập tại http://fiddle.jshell.net/. Điều này có thể bị lạm dụng bởi tin tặc chuyển hướng đến trang đó, yêu cầu người dùng đăng nhập và sau đó gián điệp id phiên. – Yogu
Làm thế nào bạn có thể ngăn chặn hoàn toàn loại hack này trên jsfiddle? –
Mã này được thực sự đang chạy trong một iframe để nó có thể không trực tiếp tham tiếp cận của phụ huynh. – JohnP
Ah, vì vậy nó chạy trong khung nội tuyến có Nguồn gốc khác? Đo la tât cả hả? Làm cho nó một câu trả lời để tôi có thể chấp nhận nó :) – Tower