javascript - iframe 的 srcdoc 属性作为 XSS 攻击的来源
问题描述
我正在尝试实现一种情况,即用户向我们提供一些 html 代码,然后将其存储在我们的数据库中。然后,我们从数据库中检索 HTML 作为字符串。(我们无法控制用户输入)
我尝试使用嵌入这个html
const htmldoc = [the raw html]
<iframe sandbox="allow-scripts" srcdoc=htmldoc>
</iframe>
我将使用 data:// URI。或 blob:// URI。
我正在使用沙盒属性来防止同源策略。用户是否可以在父浏览上下文中输入可能导致 XSS 攻击的内容?我不担心 XSS 攻击是否针对 iframe 内的内容,因为它是沙盒的。
如果我的方法容易受到攻击,我该怎么做才能使其安全?
解决方案
推荐阅读
- linq - 什么是 F# 的 Seq.cache 的 LINQ to Objects 等效项?
- ios - MetricKit MXDiagnostic 符号化
- python - 旧值不在 SQLAlchemy 中可变 numpy 数组的历史记录中
- java - 我有一个无法启动活动的 java lang
- pine-script - 如何从加载在不同面板中的脚本在主图表上绘制形状?
- javascript - 调用 node-fs-extra 函数 copySync() 期间出现无效回调错误
- html - 角度重新定义路线返回
- javascript - 如何在 React JS 上添加输入数字的增量
- typescript - 将多个文件中的夹具和测试导入 main.js 文件时,TestCafe“未定义夹具”错误
- c# - C# 使用字符串命名类的实例