Аннотация:В работе исследуются основные подходы и недостатки при реализации «песочницы» (изолированной области выполнения кода) на языке JavaScript для различных JavaScript фреймворков, в целях возможности исполнения недоверенного кода, при этом исключая возможность нанесения вреда пользователям. Описаны возможные способы применения данного механизма, с приведением подробных примеров и возможные сценарии мошенничества в случае успешной атаки. Приведены примеры способов обхода ограничений изолированной области видимости, приводящие к возможности проведения атаки типа XSS. Описано созданное инструментальное средство для тестирования на наличие уязвимостей песочницы для частного случая фреймворка.