Tôi đã làm việc trên một thư viện JS và muốn thiết lập một trang demo trên Github cho phép, ví dụ, người dùng định nghĩa các callbacks của riêng họ và thực hiện các lệnh.Làm cách nào để jsFiddle cho phép và thực thi JavaScript do người dùng xác định mà không bị nguy hiểm?
Tôi biết "eval()
là điều xấu" và tôi có thể thấy cách mù eval()
tập lệnh có thể dẫn đến XSS và các vấn đề bảo mật khác. Tôi đang cố gắng nấu một số phương án thay thế.
Tôi thực sự thích sự tương tác của jsFiddle. Tôi đã xem xét nguồn của họ nhưng hy vọng ai đó có thể đặt ra ở đây cách jsFiddle cho phép và thực thi JavaScript do người dùng định nghĩa mà không bị nguy hiểm. Vì vậy, miễn là nó không liên quan đến một máy chủ echo bên thứ 3, tôi hy vọng tôi có thể thi đua cách tiếp cận.
Có nghĩa là gì để thực thi trên một tên miền riêng biệt - tải một iFrame chứa trang thực thi JavaScript? – buley
@editor: Chính xác. Các trang trong '
@SLaks - Tại sao 'alert (document.cookie);' hoạt động trong jsFiddle? –