我正在使用Javascript开发游戏,我希望能够包含一个modding API。如何让开发人员使用我的API执行任意代码,同时防止他们进行恶意活动(窃取cookie,重定向到恶意网站)?
答案 0 :(得分:5)
有一个project by Google旨在让你做这样的事情。
答案 1 :(得分:1)
我正在做类似这样的事情,我的解决方案是在iFrame中运行脚本ables,指向子域(http://bar.foo.com)而不是主站点(http:// foo.com)。通过url#fragment#identifiers向脚本提供输入,并通过指向原始名称的嵌套的不可见iFrame的URL片段标识符提供输出。
请记住,您可以设置子框架的URL,即使您看不到它,并且您可以随时检查框架的特定URL(如果它位于同一个域中)。