我已经在我的网站中实现了一项要求,我可以允许我的最终用户配置链接,执行他可能需要的任何JavaScript。因为,他可以输入他需要的任何javascript,他也可以打开不同的网页,通过javascript创建新页面,通过javascript编辑页面中的元素等等。
我对此功能存在一些安全问题,并希望得到所有人的一些意见。是否有可能将任何恶意或不道德的脚本添加到可能导致法律和秩序问题或可信度问题的页面中?如果是这样,是否可以放入一些限制我的用户可能添加的javascript类型的代码?
答案 0 :(得分:2)
有一个名为ADsafe的东西是为横幅广告开发的,它是Javascript的严格子集,旨在防止恶意代码。我认为你不能做像
这样的事情打开不同的网页,通过javascript创建新页面,通过javascript编辑页面中的元素等等
虽然。我认为您应该重新考虑您的需求,并尝试确定您是否能够提供一种方法来让用户能够从您编写的预定代码中进行选择,也许可以自定义它在某些范围内。
然后,再次,如果你完全确定javascript只会为输入它的用户运行,那么他们不应该做任何事情,这会让其他人搞砸。如果用户被确定他或她可以通过其他方式简单地注入他们的javascript,例如重写代理或扩展或只是javascript控制台。