JS security gedeelde intranet web app

Ik heb een website (voor het gemak even www.website.nl) waarop klanten een eigen web applicatie kunnen maken. Alle webapps draaien op www.website.nl, maar dan onder een verschillend subdomein (klant1.website.nl, klant2.website.nl, etc). Klanten komen - uiteraard - niet op elkaars subdomein.

Nu wil ik de klanten de mogelijkheid geven om eigen JavaScript code te draaien op hun subdomein. Deze kunnen ze dan invoeren in een online editor, en wordt in opgeslagen in de database.

Mijn vraag: wat zijn de security risks van de opzet? Voor zover ik dat zie, zijn die minimaal, aangezien het hier geen openbare sites betreft.

R4gnax schreef op donderdag 02 mei 2013 @ 15:07:
[...]

Als de website van een klant document.domain = "website.nl" specificeert, dan wordt deze in elk geval gevoelig voor een XSS aanval vanaf een andere klant site. (De same-origin policy kan hiermee ontkracht worden.)

Kun je dit uitleggen?

• Je hebt klanta.website.nl en klantb.website.nl
• De beheerder van klanta.website.nl specifieert document.domain = "website.nl" (ik zie niet precies voor me wat je hiermee bedoelt)
• Wie loopt nu gevaar? De gebruiker van klanta, van klantb, of van allebei?

En is dit verholpen als ik helemaal niet met subdomeinen werk?

[ Voor 24% gewijzigd door Rekcor op 02-05-2013 16:17 . Reden: uitbreiding ]

Oke, dank!

Verwijderd schreef op donderdag 02 mei 2013 @ 22:26:
Wat was je alternatief om niet met subdomeinen te hoeven werken?
Bedenk alsjeblieft dat cookies ook leesbaar kunnen zijn binnen hetzelfde domein, afhankelijk van de gebruikte hostnaam en path!

Maar dan moeten klanta en klantb toch op dezelfde pc ingelogd zijn?

Ik had trouwens nog niet echt een oplossing bedacht voor dit probleem...

Thanks!