Algemene vraag, in mijn geval van toepassing op Opensocial, maar vast van toepassing op iedereen die Javascript gebruikt.
Opensocial beidt de mogelijkheid om een 'signed request' uit te voeren waarmee voorkomen wordt dat de request vanaf een andere host komt dan waar je app draait. (min of meer... )
De signed request komt uit de browser via Javascript. De request wordt vanuit javascript gemaakt met een simpele ' makeRequest' functie. ( de details zijn volgens mij minder van belang)
Nu is het leuk en aardig dat we zeker weten dat de request vanaf de goede host komt, echter vroeg ik mij af of er geen risico van ' Javascript injection' bestaat. Ik kon er op Google niets over vinden, dus wellicht is het niet mogelijk.
Ik zie het zo voor me: Mijn opensocial app verstuurd normaal gesproken via javascript een request met custom_field=xxxxxx. De javascript staat gewoon simpel in de browser en iedereen kan het zien. Hoe moelijk is het nu de browser te 'forcen' de zelfde functie aan te roepen, maar met custom_field=yyyyy. Is een eenvoudig greasemoney script niet al voldoende?
Mijn kennis schiet wat te kort om dit in dit uit te zoeken, dus wellicht dat een Tweaker met beter onderbouwde javascript kennis mij gerust kan stellen over de betrouwbaarheid van mijn app.
Opensocial beidt de mogelijkheid om een 'signed request' uit te voeren waarmee voorkomen wordt dat de request vanaf een andere host komt dan waar je app draait. (min of meer... )
De signed request komt uit de browser via Javascript. De request wordt vanuit javascript gemaakt met een simpele ' makeRequest' functie. ( de details zijn volgens mij minder van belang)
Nu is het leuk en aardig dat we zeker weten dat de request vanaf de goede host komt, echter vroeg ik mij af of er geen risico van ' Javascript injection' bestaat. Ik kon er op Google niets over vinden, dus wellicht is het niet mogelijk.
Ik zie het zo voor me: Mijn opensocial app verstuurd normaal gesproken via javascript een request met custom_field=xxxxxx. De javascript staat gewoon simpel in de browser en iedereen kan het zien. Hoe moelijk is het nu de browser te 'forcen' de zelfde functie aan te roepen, maar met custom_field=yyyyy. Is een eenvoudig greasemoney script niet al voldoende?
Mijn kennis schiet wat te kort om dit in dit uit te zoeken, dus wellicht dat een Tweaker met beter onderbouwde javascript kennis mij gerust kan stellen over de betrouwbaarheid van mijn app.
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
