Ich möchte in meiner Anwendung einen browserbasierten Code-Editor wie Monaco oder Ace verwenden, um Benutzern das Schreiben von Code im Browser zu ermöglichen, der von anderen Benutzern ausgeführt wird . Sie können sich vorstellen, oder so ähnlich. Ich möchte jedoch keine Cross-Site-Scripting-Schwachstellen aufzeigen. Ich finde nicht viel darüber, wie man diese Tools in einer Anwendung richtig implementiert und XSS verhindert.So erstellen Sie einen XSS-sicheren browserbasierten Code-Editor
Gibt es eine Möglichkeit, das in diesen Tools geschriebene Javascript zu "sandboxieren", wenn es ausgeführt wird? Wie schützen Tools wie JSFiddle, CodePen und Online-Editoren etc. vor bösartigen Skripten? Welche Techniken sollte ich generell verwenden, um XSS-Sicherheitslücken zu vermeiden, wenn ich einen browserbasierten Code-Editor in meiner App verwende?