textarea setzt den Inhalt von iframe - security mit CodeMirror

Question

Ich benutze CodeMirror um ein ähnliches Projekt wie JSFiddle zu erstellen. Ich referenziere this example file von CodeMirror, ich rendere vollständigen HTML-Inhalt von einem Textarea (einschließlich Skript-Tags aus externen Javascript-Dateien).

Es funktioniert alles gut lokal, aber gibt es vor der Bereitstellung keine Sicherheitsbedrohung für das Rendern einer vollständigen HTML-Seite von benutzerdefinierten Eingaben? Wie ist das obige Beispiel keine Sicherheitsbedrohung?

Answer 1

Es kann ein Sicherheitsproblem sein, wenn Sie innerhalb Ihrer Anwendungsdomäne benutzerdefinierte Eingaben ausführen.

Zum Beispiel 1) JS Bin führt Benutzercode auf einer anderen Domäne aus. Der angegebene Code wird klarstellen. alert(document.URL) https://jsbin.com/xezusur/edit?html,js,output

2) Selbst führt JS Fiddle-Code in einem iframe auf einer anderen URL https://jsfiddle.net/djadmin/zrks3reg/

Wie Sie in beiden Beispielen gegeben oben sehen können, der Benutzer-Code wird auf einer anderen Domäne ausgeführt. Auf diese Weise wird verhindert, dass Benutzereingaben aufgrund derselben Richtlinien auf Ressourcen in anderen Domänen zugreifen.