javascript - 让用户上传和运行 Javascript 有什么风险

Question

如果您说的是 HTML5 游戏厅，它允许用户上传使用 HTML5 和 Javascript 运行游戏的脚本，假设您没有对他们的输入进行过滤(除了只允许 JS 和 HTML 之外)，有什么潜力安全风险和陷阱？

一种不太可能的可能性是，如果游戏很受欢迎，它们内部可能有一个休眠的 ddos​​ 脚本，如果游戏足够受欢迎，它可以发起 ddos​​ 攻击。

窃取 cookie 是另一回事，但如果有人有完整的列表或任何其他想法，听听他们会很有趣。

Answer 1

允许上传 javascript 运行为攻击者打开了很多选项。

参见 Cross Site Scripting (维基百科)和 OWASP .

一般来说 - 如果您允许，那么攻击者可以发布任何代码、重定向用户、利用他们的浏览器、安装病毒等等。