Есть ли хорошие материалы по созданию приложений для сайтов

Question

[cat_crash]

Доброго дня.

Являюсь владельцем среднего по масштабам проекта в РБ и планирую сделать возможность создания «приложений» для сайта. Суть проста — есть страница, на которой можно разместить какое либо приложение. Приложение — это некая страничка в виде IFRAME которая может получать и передавать данные в родительскую страницу.
Срузу возникает куча вопросов:
Как хостить:
— Хостить их у себя на серваке? Если да — то не очень удобно для конечного пользователя в плане доступа к тем же ERP системам которые стоят у заказчика.
— Давать размещать с чужих серваков — дыра в безопасности. Могут подбрасывать через JS чего угодно.

Собственно доступ к JS:
— как контролировать поставщиков приложений? Ведь они могут заобусифицировать код + менять его в реал тайм. Имхо это просто рассадник зла
— Жестко ограничить список JS либ, Jquery, FancyBox и.д. и дать доступ к их ф-ям через API. Т.е. давать возможность запускать из ифрейма. — не очень «гибко»
— пропускать весь трафф перед выдачей через какие либо антивирусные программы? Как вариант, но не уверен что серверные антивирусы нормально могут бороться с JS пакостями (например parent.location.href='hacksite.com;)

Собственно вопрос: есть ли какое хорошее чтиво по этому поводу — как сделать возможность писать гибкие в меру HTML приложения для своего сайта?

Answer 1

[egorinsk]

Если вы размещаете чужой код в ифрейме, то худшее, что он может сделать — это алерты или редирект.

А вообще, советую бросить эту затею. Разработка приложений стоит денег. Зачем разработчику делать приложения на вашем сайте, если можно делать из вконтакте/фейсбуке, там больеш пользователей и больше можно заработать.

Comments

[cat_crash]

Худшее что может сделать злоумышленик — запустить эксплоит, или применив соц инжинерию просить денежку. Именно этот факт меня более всего смущает.

Насчет приложений — это идея как расширить функционал сайта, монетизировать некоторые его части. У сайта довольно узкая специфика направленная на b2b,b2c и приложения бы в небольших кол-вах пользовались бы интересом ИМХО.

[egorinsk]

Тогда проверяйте личность, прежде чем давать доступ к размещению прилрожения, например, проверкой банковским переводом или переводом через систему Contact.

Answer 2

[pletinsky]

Можете детально изучить как это сделано например в фейсбуке и скопировать все у них. Наверняка они уже все грабли прошли.
Вот даже статья с хабра.

Там свой язык разметки (как бы), свой скриптовый язык (как бы).
Ну и там политики безопасности и все такое.
В успех мероприятия не особенно верится, но опыт получите интересный.

Comments

[cat_crash]

Спасибо за совет. Для меня сейчас это равносильно как из пушки по воробьям.