Q&A
javascriptをブラウザ上でコーディングして実行できるサービスがあります。
例えばJSFiddleやjsdo.itなどです。
自分も同じようにjavascriptをサイト内エディタを実装して実行し、サイト内のhtml要素を操作させたいのですが、どういう部分に気をつけるべきなのでしょうか?
同じドメイン内でjavascriptを編集して実行するのは、そのサイトを任意のコードで実行して攻撃できたりしないのでしょうか?
JSFiddleを見たら特にiframe内にエディターがあるわけではなく<textarea>になっていました。
iframeのsandboxも完全に防げるわけではないようです。
また、ブラウザのデベロッパーツールもjavascriptを編集して実行できてしまいますが、これは簡単にサイトを攻撃できてしまわないのでしょうか?
どうぞよろしくお願い致します。
回答1件
0
JSFiddleやjsdo.it
これらは、投稿したものを表示する専用のドメインを使っています。クロスドメインはガードが厳しいので、より安全になります。
ブラウザのデベロッパーツールもjavascriptを編集して実行できてしまいますが、これは簡単にサイトを攻撃できてしまわないのでしょうか?
はい、ブラウザ内のJavaScriptはあくまでユーザー側で実行するものなので、そちらで信用できない操作を行われうることは前提として考えておかないといけません。
投稿2018/05/22 06:12
総合スコア145183
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/05/22 12:14
2018/05/22 12:36