Мы разрабатываем онлайн-аттракционы для игр HTML5. Пользователи могут загрузить zip-файл, содержащий их игру.
При загрузке zip распаковывается сервером, и каждый файл зацикливается, проверяя его расширение по белому списку, что позволяет:
- .html
- .js
- .png
- .jpg
- .appcache
- .m4a
- .ogg
(Игры должны быть созданы в нашем игровом редакторе, который экспортирует эти файлы). Это должно помешать людям загружать zip-файлы, файлы сценариев на стороне сервера и т. Д.
Затем игры перемещаются на наш статический домен без файлов cookie (scirra.net). Когда игра запускается на нашей странице scirra.com, игра отображается в окне iframe, указывающем на домен scirra.net. Это должно предотвратить доступ вредоносного JS к cookie-файлам scirra.com.
Достаточно ли всеобъемлющи эта техника iframe и белый список, чтобы предотвратить любые злонамеренные действия? Обратите внимание, что мы не можем проверить каждый файл JS, поэтому следует предположить, что люди попытаются загрузить вредоносный JS.
window.location = http://somevirusinfestedsite.com
для начала.while (true) alert('haha');
(и это варианты) воткнуть еще одну. - person Matt   schedule 22.11.2011window.top.location = http://somevirusinfestedsite.com
- person Matt   schedule 22.11.2011