Làm cách nào để jsFiddle cho phép và thực thi JavaScript do người dùng xác định mà không bị nguy hiểm?

Tôi đã làm việc trên một thư viện JS và muốn thiết lập một trang demo trên Github cho phép, ví dụ, người dùng định nghĩa các callbacks của riêng họ và thực hiện các lệnh.Làm cách nào để jsFiddle cho phép và thực thi JavaScript do người dùng xác định mà không bị nguy hiểm?

Tôi biết "eval() là điều xấu" và tôi có thể thấy cách mù eval() tập lệnh có thể dẫn đến XSS và các vấn đề bảo mật khác. Tôi đang cố gắng nấu một số phương án thay thế.

Tôi thực sự thích sự tương tác của jsFiddle. Tôi đã xem xét nguồn của họ nhưng hy vọng ai đó có thể đặt ra ở đây cách jsFiddle cho phép và thực thi JavaScript do người dùng định nghĩa mà không bị nguy hiểm. Vì vậy, miễn là nó không liên quan đến một máy chủ echo bên thứ 3, tôi hy vọng tôi có thể thi đua cách tiếp cận.

Nguồn

2011-11-04 buley

jsFiddle thực thi tập lệnh người dùng trên một tên miền riêng biệt, http://fiddle.jshell.net (try it and see).
Do đó, nó không thể tương tác với khung chính và không thể lấy cắp cookie.

Bạn thực sự có thể thực hiện việc này mà không cần máy chủ riêng biệt bằng cách đặt một trang tĩnh trong một miền riêng biệt đọc từ chuỗi truy vấn của nó trong Javascript.
Bạn có thể liên lạc lại bằng cách sử dụng tiêu đề trang (và do đó có thể là kẻ thù).

Nguồn

2011-11-04 01:38:03 SLaks

Có nghĩa là gì để thực thi trên một tên miền riêng biệt - tải một iFrame chứa trang thực thi JavaScript? – buley

@editor: Chính xác. Các trang trong '' phải nằm trên một tên miền riêng biệt mà không có gì có thể bị tấn công (không có cookie) – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/34397/">SLaks</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">@SLaks - Tại sao 'alert (document.cookie);' hoạt động trong jsFiddle? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="4319274062" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div class="relative-box"> <div class="relative">Các vấn đề liên quan</div> <ul class="relative_list"> <li> 1. <a href="http://vi.voidcc.com/question/p-wxfrfwoq-bk.html" target="_blank" title="Làm thế nào nguy hiểm là nó cho phép người dùng xác định các mẫu RazorEngine?"> Làm thế nào nguy hiểm là nó cho phép người dùng xác định các mẫu RazorEngine? </a> </li> <li> 2. <a href="http://vi.voidcc.com/question/p-quhdgjkw-bd.html" target="_blank" title="Làm thế nào nguy hiểm trong JavaScript, thực sự, giả định không xác định không bị ghi đè?"> Làm thế nào nguy hiểm trong JavaScript, thực sự, giả định không xác định không bị ghi đè? </a> </li> <li> 3. <a href="http://vi.voidcc.com/question/p-xuajbxtq-v.html" target="_blank" title="Tại sao bị() nguy hiểm hơn scanf()?"> Tại sao bị() nguy hiểm hơn scanf()? </a> </li> <li> 4. <a href="http://vi.voidcc.com/question/p-ryezdvdl-bd.html" target="_blank" title="Hộp cát an toàn và thực thi JavaScript do người dùng gửi?"> Hộp cát an toàn và thực thi JavaScript do người dùng gửi? </a> </li> <li> 5. <a href="http://vi.voidcc.com/question/p-bkmdqosy-u.html" target="_blank" title="Hàm băm cho lớp do người dùng xác định. Làm thế nào để kết bạn? :)"> Hàm băm cho lớp do người dùng xác định. Làm thế nào để kết bạn? :) </a> </li> <li> 6. <a href="http://vi.voidcc.com/question/p-olkhkxxl-x.html" target="_blank" title="luồng JavaScript có thể thực thi bị gián đoạn không?"> luồng JavaScript có thể thực thi bị gián đoạn không? </a> </li> <li> 7. <a href="http://vi.voidcc.com/question/p-nbrfemlv-v.html" target="_blank" title="Tác động nguy hiểm của phong cách Allman trong JavaScript"> Tác động nguy hiểm của phong cách Allman trong JavaScript </a> </li> <li> 8. <a href="http://vi.voidcc.com/question/p-wlubabxy-s.html" target="_blank" title="static_cast cho các loại do người dùng xác định"> static_cast cho các loại do người dùng xác định </a> </li> <li> 9. <a href="http://vi.voidcc.com/question/p-oxkmspkp-z.html" target="_blank" title="Làm cách nào để thiết lập chức năng do người dùng xác định trong Volt (Phalcon)"> Làm cách nào để thiết lập chức năng do người dùng xác định trong Volt (Phalcon) </a> </li> <li> 10. <a href="http://vi.voidcc.com/question/p-hgyhpvms-m.html" target="_blank" title="Làm cách nào để thực thi chức năng JavaScript do trang xác định từ tiện ích mở rộng của Firefox?"> Làm cách nào để thực thi chức năng JavaScript do trang xác định từ tiện ích mở rộng của Firefox? </a> </li> <li> 11. <a href="http://vi.voidcc.com/question/p-qkamirnx-q.html" target="_blank" title="tính công thức do người dùng xác định (với C++)"> tính công thức do người dùng xác định (với C++) </a> </li> <li> 12. <a href="http://vi.voidcc.com/question/p-odxlfpsy-bb.html" target="_blank" title="ASP.NET có khả năng nguy hiểm Yêu cầu Javascript Regex"> ASP.NET có khả năng nguy hiểm Yêu cầu Javascript Regex </a> </li> <li> 13. <a href="http://vi.voidcc.com/question/p-anhuwbki-n.html" target="_blank" title="Làm cách nào để xác định nền tảng nào mà tệp thực thi được biên dịch?"> Làm cách nào để xác định nền tảng nào mà tệp thực thi được biên dịch? </a> </li> <li> 14. <a href="http://vi.voidcc.com/question/p-uvaenvzn-be.html" target="_blank" title="Làm cách nào để thêm hàm SQL do người dùng định nghĩa vào khung thực thể?"> Làm cách nào để thêm hàm SQL do người dùng định nghĩa vào khung thực thể? </a> </li> <li> 15. <a href="http://vi.voidcc.com/question/p-zwsuwwvl-d.html" target="_blank" title="Tôi làm cách nào để truy cập cài đặt Xcode do người dùng xác định?"> Tôi làm cách nào để truy cập cài đặt Xcode do người dùng xác định? </a> </li> <li> 16. <a href="http://vi.voidcc.com/question/p-mwdamkaj-bb.html" target="_blank" title="Điều gì làm cho lớp do người dùng định nghĩa không thể thực hiện được?"> Điều gì làm cho lớp do người dùng định nghĩa không thể thực hiện được? </a> </li> <li> 17. <a href="http://vi.voidcc.com/question/p-cqbmbrfr-bh.html" target="_blank" title="Symfony2: Nơi đặt múi giờ do người dùng xác định"> Symfony2: Nơi đặt múi giờ do người dùng xác định </a> </li> <li> 18. <a href="http://vi.voidcc.com/question/p-tsfultdo-bo.html" target="_blank" title="Số lượng đối số không xác định cho các hàm do người dùng định nghĩa SQL?"> Số lượng đối số không xác định cho các hàm do người dùng định nghĩa SQL? </a> </li> <li> 19. <a href="http://vi.voidcc.com/question/p-dvgluboq-v.html" target="_blank" title="Xác thực, xác thực người dùng và Django-ngonpie"> Xác thực, xác thực người dùng và Django-ngonpie </a> </li> <li> 20. <a href="http://vi.voidcc.com/question/p-kziypkda-bc.html" target="_blank" title="Làm cách nào để xác thực người dùng ở Django?"> Làm cách nào để xác thực người dùng ở Django? </a> </li> <li> 21. <a href="http://vi.voidcc.com/question/p-zqeouzml-bp.html" target="_blank" title="Có cách nào để xác định Hội nghị Người dùng Mulit (MUC) nào mà người dùng đã tham gia không?"> Có cách nào để xác định Hội nghị Người dùng Mulit (MUC) nào mà người dùng đã tham gia không? </a> </li> <li> 22. <a href="http://vi.voidcc.com/question/p-yxlphvhs-k.html" target="_blank" title="Xử lý "giá trị Request.Form nguy hiểm ...""> Xử lý "giá trị Request.Form nguy hiểm ..." </a> </li> <li> 23. <a href="http://vi.voidcc.com/question/p-cwhjmdki-bd.html" target="_blank" title="Đặt cookie do người dùng xác định trong Jmeter"> Đặt cookie do người dùng xác định trong Jmeter </a> </li> <li> 24. <a href="http://vi.voidcc.com/question/p-nwkomznl-x.html" target="_blank" title="Thuộc tính tùy chỉnh cho Enums có nguy hiểm không?"> Thuộc tính tùy chỉnh cho Enums có nguy hiểm không? </a> </li> <li> 25. <a href="http://vi.voidcc.com/question/p-hawwcxnx-o.html" target="_blank" title="Xác thực xác thực mà không cần mật khẩu, chỉ sử dụng tên người dùng"> Xác thực xác thực mà không cần mật khẩu, chỉ sử dụng tên người dùng </a> </li> <li> 26. <a href="http://vi.voidcc.com/question/p-vcmfbdzf-t.html" target="_blank" title="JSLint suy giảm "comment nguy hiểm""> JSLint suy giảm "comment nguy hiểm" </a> </li> <li> 27. <a href="http://vi.voidcc.com/question/p-cjagqwct-bh.html" target="_blank" title="Tạo chuyển đổi do người dùng xác định"> Tạo chuyển đổi do người dùng xác định </a> </li> <li> 28. <a href="http://vi.voidcc.com/question/p-ugdekxyk-v.html" target="_blank" title="Cách tốt nhất để chương trình C++ theo một tập lệnh do người dùng xác định?"> Cách tốt nhất để chương trình C++ theo một tập lệnh do người dùng xác định? </a> </li> <li> 29. <a href="http://vi.voidcc.com/question/p-afthbsol-b.html" target="_blank" title="Có nguy hiểm nào khi tạo UUID ở phía máy khách Javascript không?"> Có nguy hiểm nào khi tạo UUID ở phía máy khách Javascript không? </a> </li> <li> 30. <a href="http://vi.voidcc.com/question/p-rwkyzepb-a.html" target="_blank" title="PHP "Session_regenerate_id" và Xác thực người dùng"> PHP "Session_regenerate_id" và Xác thực người dùng </a> </li> </ul> </div> <div> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="3534119089"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img2.voidcc.com/voidso/script/side.js?t=1652515422912"></script> <script type="text/javascript" src="http://img2.voidcc.com/voidso/plugin/highlight/highlight.pack.js"></script> <link href="http://img2.voidcc.com/voidso/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>  <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="3862022848" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> Câu hỏi mới nhất </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://vi.voidcc.com/question/p-onqxdibh-cb.html" target="_blank" title="Bắt đầu quá trình Java với cùng một tệp thực thi như"> Bắt đầu quá trình Java với cùng một tệp thực thi như </a> </li> <li class="side_article_list_item"> 2. <a href="http://vi.voidcc.com/question/p-tktrcece-bz.html" target="_blank" title="Không thể tìm thấy mô-đun '@ firebase/app-types/private'"> Không thể tìm thấy mô-đun '@ firebase/app-types/private' </a> </li> <li class="side_article_list_item"> 3. <a href="http://vi.voidcc.com/question/p-upvgrvrk-br.html" target="_blank" title="gấu trúc nhân sử dụng các giá trị điển trên một số cột"> gấu trúc nhân sử dụng các giá trị điển trên một số cột </a> </li> <li class="side_article_list_item"> 4. <a href="http://vi.voidcc.com/question/p-gmurbxtq-bv.html" target="_blank" title="Làm cách nào để truy cập tên mẫu hiện tại trong Mojolicious?"> Làm cách nào để truy cập tên mẫu hiện tại trong Mojolicious? </a> </li> <li class="side_article_list_item"> 5. <a href="http://vi.voidcc.com/question/p-ffgodrxz-br.html" target="_blank" title="Nhận văn bản sau phần tử nhất định (JavaScript hoặc JQuery)"> Nhận văn bản sau phần tử nhất định (JavaScript hoặc JQuery) </a> </li> <li class="side_article_list_item"> 6. <a href="http://vi.voidcc.com/question/p-evzpqfsx-bx.html" target="_blank" title="Flink 1.4 AvroUtils lỗi"> Flink 1.4 AvroUtils lỗi </a> </li> <li class="side_article_list_item"> 7. <a href="http://vi.voidcc.com/question/p-albbivnl-cc.html" target="_blank" title="Valgrind không hợp lệ miễn phí, rò rỉ bộ nhớ"> Valgrind không hợp lệ miễn phí, rò rỉ bộ nhớ </a> </li> <li class="side_article_list_item"> 8. <a href="http://vi.voidcc.com/question/p-xwlrdlwt-cb.html" target="_blank" title="Python - Sử dụng một biến như là một phần của chuỗi tạo thành"> Python - Sử dụng một biến như là một phần của chuỗi tạo thành </a> </li> <li class="side_article_list_item"> 9. <a href="http://vi.voidcc.com/question/p-gounabzg-bs.html" target="_blank" title="Android Studio - Bố cục hoạt động hiển thị lật (RTL thay vì LTR)"> Android Studio - Bố cục hoạt động hiển thị lật (RTL thay vì LTR) </a> </li> <li class="side_article_list_item"> 10. <a href="http://vi.voidcc.com/question/p-gepaadvk-br.html" target="_blank" title="Hình ảnh đào tạo CNN Tensorflow có tất cả các kích thước khác nhau"> Hình ảnh đào tạo CNN Tensorflow có tất cả các kích thước khác nhau </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> Các vấn đề liên quan</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://vi.voidcc.com/question/p-wxfrfwoq-bk.html" target="_blank" title="Làm thế nào nguy hiểm là nó cho phép người dùng xác định các mẫu RazorEngine?"> Làm thế nào nguy hiểm là nó cho phép người dùng xác định các mẫu RazorEngine? </a> </li> <li class="side_article_list_item"> 2. <a href="http://vi.voidcc.com/question/p-quhdgjkw-bd.html" target="_blank" title="Làm thế nào nguy hiểm trong JavaScript, thực sự, giả định không xác định không bị ghi đè?"> Làm thế nào nguy hiểm trong JavaScript, thực sự, giả định không xác định không bị ghi đè? </a> </li> <li class="side_article_list_item"> 3. <a href="http://vi.voidcc.com/question/p-xuajbxtq-v.html" target="_blank" title="Tại sao bị() nguy hiểm hơn scanf()?"> Tại sao bị() nguy hiểm hơn scanf()? </a> </li> <li class="side_article_list_item"> 4. <a href="http://vi.voidcc.com/question/p-ryezdvdl-bd.html" target="_blank" title="Hộp cát an toàn và thực thi JavaScript do người dùng gửi?"> Hộp cát an toàn và thực thi JavaScript do người dùng gửi? </a> </li> <li class="side_article_list_item"> 5. <a href="http://vi.voidcc.com/question/p-bkmdqosy-u.html" target="_blank" title="Hàm băm cho lớp do người dùng xác định. Làm thế nào để kết bạn? :)"> Hàm băm cho lớp do người dùng xác định. Làm thế nào để kết bạn? :) </a> </li> <li class="side_article_list_item"> 6. <a href="http://vi.voidcc.com/question/p-olkhkxxl-x.html" target="_blank" title="luồng JavaScript có thể thực thi bị gián đoạn không?"> luồng JavaScript có thể thực thi bị gián đoạn không? </a> </li> <li class="side_article_list_item"> 7. <a href="http://vi.voidcc.com/question/p-nbrfemlv-v.html" target="_blank" title="Tác động nguy hiểm của phong cách Allman trong JavaScript"> Tác động nguy hiểm của phong cách Allman trong JavaScript </a> </li> <li class="side_article_list_item"> 8. <a href="http://vi.voidcc.com/question/p-wlubabxy-s.html" target="_blank" title="static_cast cho các loại do người dùng xác định"> static_cast cho các loại do người dùng xác định </a> </li> <li class="side_article_list_item"> 9. <a href="http://vi.voidcc.com/question/p-oxkmspkp-z.html" target="_blank" title="Làm cách nào để thiết lập chức năng do người dùng xác định trong Volt (Phalcon)"> Làm cách nào để thiết lập chức năng do người dùng xác định trong Volt (Phalcon) </a> </li> <li class="side_article_list_item"> 10. <a href="http://vi.voidcc.com/question/p-hgyhpvms-m.html" target="_blank" title="Làm cách nào để thực thi chức năng JavaScript do trang xác định từ tiện ích mở rộng của Firefox?"> Làm cách nào để thực thi chức năng JavaScript do trang xác định từ tiện ích mở rộng của Firefox? </a> </li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://vi.voidcc.com/contact">Liên lạc với chúng tôi</a></li> <li>© 2020 VI.VOIDCC.COM</li> <li><a rel="nofollow" href="https://beian.miit.gov.cn/" target="_blank">沪ICP备13005482号-13</a></li> <li><script type="text/javascript" src="https://s9.cnzz.com/z_stat.php?id=1280098168&web_id=1280098168"></script></li> <li><a href="http://cn.voidcc.com/" target="_blank" title="程序问答园区">简体中文</a></li> <li><a href="http://hk.voidcc.com/" target="_blank" title="程序問答園區">繁體中文</a></li> <li><a href="http://ru.voidcc.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.voidcc.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.voidcc.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.voidcc.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.voidcc.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.voidcc.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.voidcc.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.voidcc.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.voidcc.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.voidcc.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.voidcc.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script async src="https://www.googletagmanager.com/gtag/js?id=UA-77509369-5"></script> <script> window.dataLayer = window.dataLayer || []; function gtag() { dataLayer.push(arguments); } gtag('js', new Date()); gtag('config', 'UA-77509369-5'); </script> <script> var _hmt = _hmt || []; (function () { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?67d4731349f0b00136755b80364ce381"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>

Làm cách nào để jsFiddle cho phép và thực thi JavaScript do người dùng xác định mà không bị nguy hiểm?

Trả lời