2

我正在寻找创建一个简单的 html5 游戏街机,人们可以在其中提交他们的游戏,然后我托管它们。

游戏将直接在浏览器中运行。加载内容后,他们将不会访问任何服务器。很像老式的 Flash 街机网站(Miniclip 等)。不会是单人游戏。

我主要关心的游戏访问的内容将是注册/登录用户的用户会话数据。

我想知道在不审核每一行提交的代码的情况下保护这些的最佳方法是什么?

目前我在想我应该在不同的域(可能是 cdn)上托管游戏,然后 iframe 他们。

这行得通吗?我还应该做些什么来确保游戏无法访问有关用户的信息?

4

1 回答 1

3

即使不允许来自不同域的 iframe 的内容访问父级的 DOM,仍然有多种方式可能会通过在 iframe 上加载不受信任的内容来危及用户的安全性。

例如,iframe 可以重定向到不安全的站点、提供恶意软件或使用某种网络钓鱼方案,例如在 iframe 上显示“会话过期”消息以及模拟登录表单来窃取用户的密码。在所有这些情况下,由于地址栏中显示的 URL 始终是您网站的 URL,因此用户更有可能信任其内容并在出现问题时责怪您。

我不知道有任何解决方案可以自动检查提交的代码是否是恶意的,如果你找到了,我会对它的有效性非常谨慎。以网络钓鱼示例为例。在这种情况下,代码本身没有问题(因为某些游戏可能为其玩家提供真正的登录表单),它是显示它的上下文(作为您真实登录表单的模型)是什么使它是恶意的。

于 2012-12-15T16:52:43.907 回答