标签: javascript security xss
最近,我正致力于改进以前构建的JS编辑器,该编辑器在iframe上显示结果。
我对于什么是风险(任何?)以及在完成项目之前我需要采取或检查的安全步骤有一些想法和分配问号。
我读了关于WYSIWYG的分配,我找不到任何有用的详细答案,只是代码名称。当然,我已经阅读了有关XSS及其所有类型的所有内容,但我再次发现,我认为JS在线编辑风险的唯一主要问题是cookie劫持,这是一个容易受到威胁的威胁。并且众所周知。
对用户有什么顾虑?
服务器/网站方面有什么问题?
如何避免它们仍然让用户能够使用JS?