私は、人々が自分のゲームを送信できる単純な html5 ゲーム アーケードの作成を検討しており、それをホストしています。
ゲームはブラウザで直接実行されます。コンテンツが読み込まれると、サーバーにアクセスしなくなります。古い学校のフラッシュ アーケード サイト (Miniclip など) によく似ています。シングルプレイヤーにはなりません。
私がゲームにアクセスする際に懸念しているコンテンツは、主に登録/ログイン ユーザーのユーザー セッション データです。
提出されたコードのすべての行を監査せずにこれらを保護する最善の方法は何だろうか?
現時点では、ゲームを別のドメイン (cdn の可能性が高い) でホストしてから iframe にする必要があると考えています。
これは機能しますか?ゲームがユーザーに関する情報にアクセスできないようにするために他にすべきことはありますか?
別のドメインからの iframe のコンテンツが親の DOM にアクセスすることを許可されていない場合でも、iframe に信頼されていないコンテンツをロードすることによって、ユーザーのセキュリティが侵害される可能性があるいくつかの方法があります。
たとえば、iframe は、安全でないサイトにリダイレクトしたり、マルウェアを配信したり、iframe に「セッションの期限切れ」メッセージをモックアップ ログイン フォームとともに表示するなどのフィッシング スキームを使用して、ユーザーのパスワードを盗んだりする可能性があります。これらすべての場合において、アドレス バーに表示される URL は常にサイトの URL であるため、ユーザーはそのコンテンツを信頼し、問題が発生した場合にあなたを非難する可能性が高くなります。
提出されたコードが悪意のあるものかどうかを自動的にチェックする解決策を私は知りません. フィッシングの例を見てみましょう。その場合、コード自体に問題はありません (一部のゲームにはプレイヤー用の本物のログイン フォームがあるため)。コードが (実際のログイン フォームのモックアップとして) 表示されるコンテキストが悪意があります。