当用户使用fabric.js StaticCanvas.loadFromJSON打开json时,object.clipTo或pattern.source的功能由new Function创建并执行。
因此,当用户打开其他人的json时,会执行任何函数。 例如,一个破解者可以在控制台中创建任何功能
fabric.Object.prototype.clipTo = function(){console.log('Hello World!');}
我在jsfiddle https://jsfiddle.net/6jtvn03a/12/中做了一个例子。
是否有任何安全的解决方案可以打开其他人的json?