【发布时间】:2011-12-21 16:26:53
【问题描述】:
我一直在开发一个 JS 库,并想在 Github 上设置一个演示页面,例如,允许用户定义自己的回调和执行命令。
我知道“eval() 是邪恶的”,并且我可以看到盲目的 eval() 脚本可能会导致 XSS 和其他安全问题。我正在尝试制定一些替代方案。
我真的很喜欢 jsFiddle 的交互性。我查看了他们的源代码,但希望有人可以在这里列出 jsFiddle 如何允许和执行用户定义的 JavaScript 而不会造成危险。只要不涉及第 3 方回显服务器,我希望我能效仿这种方法。
【问题讨论】:
标签: javascript security cross-domain eval user-input