Межсайтовый скриптинг и переопределение cookie-файлов будут здесь серьезной проблемой.Использование политик Same Origin в браузерах будет ценной методологией в вашей защите. ref1 ref2
- Убедитесь, что ваши сайты обслуживаются из другого домена для приложений участников.(например,
coolgames.com vs mycoolgames.com) - это отделит область действия исходного кода от их кода. - Убедитесь, что у каждого участника есть свои приложения / игры, обслуживаемые с уникального субдомена (например,
bob.mycoolgames.com)., dave.mycoolgames.com) - Это поможет разделить происхождение разных разработчиков.Каждому нужно быть осторожным, чтобы никогда не использовать cookie-файлы для .mycoolgames.com, иначе они будут переэкспонировать себя.
Вы также можете дополнительно защитить свое собственное приложение, используя новую Политику безопасности контента поддержка в современных браузерах.Это дополнительно поможет смягчить против атак кликбека .
Относительно фреймов:
Можете ли вы объяснить, почему вам нужно использовать фрейм ввсе?Что плохого в старых добрых ссылках?
Если графический дизайн требует использования iframe, вы можете легко разместить все встроенные игры на динамической странице www.mycoolgames.com, где вы не будете хранить конфиденциальные системы, данные или код.- хранить все системы аутентификации пользователей, системы CMS и данные только в приложениях на * .coolgames.com