Мне любопытно, что делает www.jsfiddle.net защищенным от атак на основе XSS? У них есть поддержка учетных записей, поэтому ясно, что любые script, которые они запускают в браузере, могут делать злые вещи.
Что делает JSFiddle безопасным для атак на основе XSS?
Ответ 1
Если вы посмотрите на панель результатов для скрипки, вы заметите, что на самом деле это IFRAME, указывающий на другой домен, что означает, что встроенная защита будет удалена, что обычно предотвращает доступ к родительскому окну.
Эта скрипка, например: http://jsfiddle.net/jomanlk/y9zCK/
Фактически обслуживается: http://fiddle.jshell.net/jomanlk/y9zCK/show/