hi,

Trotzdem musst du natürlich dafür sorgen, dass außerhalb der Sandbox kein ausführbarer JavaScript-Code landet. XSS ist dein Stichwort, dazu solltest du jede Menge Lektüre finden.

Lektüre ja, aber kein Beispiel zum Einrichten einer Sandbox wo usergeneriertes JS schadenfrei ausgeführt werden kann. Hast Du ein Beispiel?

Soweit ich XSS verstehe, wird das nur dann richtig böse, wenn die Location einen scheme://auth/path hat like http://example.com.

MfG