标签: javascript ecmascript-6 web-worker google-caja
我想让用户在我的网站上运行他们自己的脚本,脚本不会与DOM交互,主要是关于进行计算。我打算使用服务工作者来清理用户输入JS。脚本存储在Db中,然后加载然后在服务工作者上下文中执行。
任何人都可以看到这种方法的任何安全问题(我不关心while(1 === 1)等 - 只有可能损害服务器/其他用户的东西)。脚本评估的结果不会直接提供给用户,但将用作其他Js脚本的输入。任何人都可以使用我描述的设置产生快速攻击样本/想法吗?