如果你说一个HTML5游戏街机,它允许用户上传一个运行HTML5和Javascript游戏的脚本,假设你的输入没有过滤器(除了只允许JS和HTML),有什么潜力安全风险和陷阱?
一种不太可能的可能性是,如果游戏很受欢迎,他们可能会在其中部署一个休眠的ddos脚本,如果游戏足够流行,可以发起ddos攻击。
偷饼干是另一种,但如果有人有完整的清单或任何其他想法,听到它们会很有趣。
答案 0 :(得分:3)
允许javascript上传运行为攻击者开辟了很多选项。
请参阅Cross Site Scripting(wikipeda)和OWASP。
一般情况下 - 如果您允许此操作,则攻击者可以发布任何代码,重定向用户,利用其浏览器,安装病毒等。
答案 1 :(得分:2)
只有我的两分钱..
当有人上传将用户重定向到恶意网站的脚本并且该网站正在做一些令人讨厌的事情时,一个风险就是 - 用户从来没有打算通过街机游戏进入该网站。
答案 2 :(得分:2)
写一个赢得的机器人 然后游戏会很快转向编写一个更好的机器人来击败其他机器人;)
如果您在iframe中使用其他域,子域,端口或协议加载这些脚本,则相同的源策略将阻止这些脚本读取主页的内容。
您可以通过iframe为现代浏览器设置这些window.postMessage与您的主页之间的字符串通信,或者使用旧版浏览器的window.name黑客进行字符串通信。
为了防止cookie窃取,您可以在主页面中拥有一个密钥,以便为每个请求发送回服务器。
答案 3 :(得分:1)