我正在构建一个静态Web应用程序(客户端),该应用程序允许用户编写自定义GLSL着色器代码,作为高级功能的一部分。为了让我的用户共享他们的工作,我正在考虑通过encodeURIComponent
将他们的GLSL代码编码到URL哈希中以进行共享,然后进行解码,编译和运行。
由于我不太熟悉XSS的细微差别,因此我想确保在实现此功能之前它是安全的。据我所知,我正在做的事与shadertoy或jsbin一样安全-没有帐户或登录风险,因此恶意代码无法做的比jsbin还要多。我是否想念一些东西,还是可以吗?