我正处于项目的中间,基本上允许其他用户为我的脚本安装“附加组件”。一般来说,它将类似于以下内容:
function widget () {
this.addControl = function (type,control) {
control.call({ Object With Some Un-thoughtout Vars });
}
}
非常基本的例子,删除了几乎所有内容
将完全使用此信任的用户。现在我想确保其他人制作的任何脚本都将以有限的权限运行。因此,他们不能劫持会话或重定向用户或直接窃取他们的密码/击键。
我在Google上查看了一些结果,他们基本上建议你不应该这样做,因为它比它的价值更麻烦。但在我看来,我宁愿限制它而不是安装一个小部件来获取他们的信息(他们很可能会这样做)。那么有没有人知道一种将回调函数分解为单独代码行的方法,这样我可以在允许它运行之前检查一切正常吗?
或者我必须按照eval方法查看一些可怕的字符串?