那些遇到过的问题

jsFiddle如何在不危险的情况下允许并执行用户定义的JavaScript?

bul*_*ley 22 javascript security user-input eval cross-domain

我一直在研究JS库,并希望在Github上设置一个演示页面,例如,用户可以定义自己的回调并执行命令.

我知道" eval()是邪恶的",我可以看到eval()脚本是多么盲目导致XSS和其他安全问题.我正在尝试制定一些替代方案.

我真的很喜欢jsFiddle的互动性.我已经看了他们的来源,但希望有人可以在这里列出jsFiddle如何允许并执行用户定义的JavaScript而不会有危险.只要它不涉及第三方echo服务器,我希望我能模仿这种方法.

SLa*_*aks 27

jsFiddle在单独的域上执行用户脚本http://fiddle.jshell.net(尝试并查看).
因此,它不能与父框架交互,也不能窃取cookie.

实际上,您可以在没有单独服务器的情况下执行此操作,方法是将静态页面放在一个单独的域中,该域从Javascript中的查询字符串中读取.
你可以使用页面标题回复(敌人也可以).

归档时间:

查看次数:

3392 次

最近记录:

14 年,3 月 前
相关归档
如何在指定的字符jQuery或JavaScript之前获取子字符串 215
如何使用javascript/jQuery验证google reCAPTCHA v2? 109
React的JSX语法中双花括号的目的是什么? 92
检查功能是否是发电机 54
将今年添加到今天的日期 51
被黑客攻击,这段代码做了什么? 22
如何防止自动AJAX攻击 5
Python使用urllib2启动请求时无法使用Tor检查 4
使用$ _GET更新数据库中的数据是不安全的吗? 2
语法错误(当似乎没有!) 1
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
Bower和npm有什么区别? 1723
什么是JavaBean? 1677
类型检查:typeof,GetType还是? 1435
在Bash中循环遍历一串字符串? 1371
你怎么能加速Eclipse? 1258
LF将被git中的CRLF取代 - 这是什么,它是否重要? 1146
在HTML中嵌入PDF的推荐方法? 1128
.gitignore for Visual Studio项目和解决方案 1115
.NET - 枚举的jSON序列化为字符串 1088