我在我的网站上实现了一个要求,我可以允许我的最终用户配置一个链接,以执行他可能需要的任何 javascript。因为,他可以输入他需要的任何 javascript,他还可以打开不同的网页,通过 javascript 创建新页面,通过 javascript 编辑页面中的元素等等。
我对这个功能有一些安全问题,想听听大家的意见。是否有可能将任何恶意或不道德的脚本添加到可能导致治安问题或信誉问题的页面中?如果是这样,是否可以放置一些代码来限制我的用户可以添加的 javascript 类型?
最佳答案
有一种东西叫ADsafe它是为横幅广告开发的,它是 Javascript 的严格子集,旨在防止恶意代码。我不认为你能做像这样的事情
open different web pages, create new pages via javascript, edit elements in the page via javascript and so on
虽然。我认为你应该重新考虑你的需求,并尝试确定你是否可以想出一种方法让用户能够从 你 编写的预先确定的代码中进行选择,或许可以自定义它在一定范围内。
话又说回来,如果您绝对确定 javascript 只会为输入它的用户运行,那么他们做的任何事情都不应该让其他人搞砸。如果用户确定他或她可以通过其他方式简单地注入(inject)他们的 javascript,例如重写代理或扩展或简单的 javascript 控制台。
关于javascript - 允许用户动态添加 javascript 的网页安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8366670/