我想让开发人员在Javascript中为一个网站编写一些自定义应用程序,但是我想要沙箱,这样他们就不能做任何顽皮的事情,比如重定向用户,将主体显示设置为无等等.我在Javascript中有一个命名空间他们需要的功能存在于那里,所以我想创建一个沙箱将是一个问题:
with(Namespace) {
//App code goes here where they can only access Namespace.*
}
如何轻松解决这个问题以及可以采取哪些其他方法?宁愿不必审核每个提交的应用程序.
我有一个用户提交的不受信任的代码,我需要在浏览器的沙盒环境中执行它。
有人告诉我,Web-Workers不能为此提供足够的安全性,因此最好使用Sandbxed iframe。这一页:
https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Workers
还说工人不适合不受信任的代码。
但是,如果我从Blob创建一个worker,则其url甚至具有不同的协议(blob://)。在这种情况下,是否将单独的来源策略应用于工作者代码?
如果还有其他原因,为什么(默认情况下)为什么与沙盒iframe(访问IndexedDB等)相比,对工作人员的限制较少(是否有机会以某种方式设置工作人员,以便对其进行足够的限制,或者应该我还是要使用沙盒iframe吗?