Что делает JSFiddle безопасным от атак на основе XSS?
Мне любопытно, что делает www.jsfiddle.net защищены от атак на основе межсайтового скриптинга? У них есть поддержка учетных записей, поэтому ясно, что любой скрипт, который они запускают в браузере, может делать злые вещи.
1 ответ:
Если вы посмотрите на панель результатов для скрипки, вы заметите, что на самом деле это IFRAME, указывающий на другой домен, что означает, что встроенная безопасность будет работать, что обычно предотвращает доступ к родительскому окну.
Эта скрипка, например: http://jsfiddle.net/jomanlk/y9zCK/
Фактически обслуживается: http://fiddle.jshell.net/jomanlk/y9zCK/show/