我正在寻找创建一个简单的html5游戏街机,人们可以提交他们的游戏,然后我主持他们。
游戏将直接在浏览器中运行。内容加载后,他们将无法访问任何服务器。很像旧学校的闪光街机网站(Miniclip等)。它不会是单人游戏。
我担心游戏主要访问的内容将是注册/登录用户的用户会话数据。
我想知道在不审核提交代码的每一行的情况下保护这些内容的最佳方法是什么?
目前我认为我应该在不同的域(可能是cdn)上托管游戏然后iframe。
这会有用吗?我还有什么办法可以确保游戏无法访问有关用户的信息吗?
答案 0 :(得分:3)
即使不允许来自其他域的iframe内容访问父级DOM,仍有多种方法可以通过在iframe上加载不受信任的内容来破坏用户的安全性。
例如,iframe可以重定向到不安全的网站,提供恶意软件或使用某种网络钓鱼方案,例如在iframe上显示“会话过期”消息以及模拟登录表单来窃取用户的密码。在所有这些情况下,由于地址栏中显示的URL始终是您网站的URL,因此用户更有可能信任其内容并在出现问题时责怪您。
我不知道有任何解决方案可以自动检查提交的代码是否是恶意代码,如果您找到代码,我会非常谨慎。以网络钓鱼为例。在这种情况下,代码本身没有任何问题(因为某些游戏可能为其玩家提供了真正的登录表单),它是显示它的上下文(作为您真实登录表单的模型)它是恶意的。