2
我正在开发一个Enyo网络应用程序,并希望允许用户在浏览器中编写他们的Javascript代码并执行它。在浏览器中的Javascript编辑器和执行
我可以通过使用window.eval来做到这一点。但是,我已经读过关于eval的罪恶。
有没有人可以说明如何在http://learn.knockoutjs.com/,http://jsfiddle.net等实例中安全地执行浏览器执行以及最佳实践是什么?
A
回答
2
对于除一个特定情况之外的所有情况,Eval被认为是邪恶的,这是您在运行时(或元编程)期间生成程序的情况。唯一的选择是编写解析器/解释器(这可以在JavaScript中相对容易地完成,而是为了比javascript本身更简单的语言 - 我做到了,而且很有趣)。因此,在这里使用eval()函数是合法的(为了使浏览器端编译器的代码速度相当快,无论如何您都需要使用生成的编译javascript的eval)。
但是,eval的问题在于安全性,因为评估代码与运行它的脚本具有相同的权限并访问其环境。这是最近很热门的话题,EcmaScript 5被设计为通过引入严格模式来部分解决这个问题,因为严格模式代码可以针对危险操作进行静态分析。
这通常是不够的(或者出于向后兼容性的原因有问题),所以有像Caja这样的方法通过分析服务器上的代码来解决安全问题,并且只允许使用严格安全的javascript子集。
另一个经常使用的方法是保护用户,而不是使用运行的用户产生的嵌入父页面的元素的JavaScript恶意攻击保护(通常使用的网站,如jsfiddle)。但iframe可以访问其父页并获取其内容,这是不安全的。
即使在这种iframe方法中,最近也有一些进展,例如,在Chrome中,使其少用sandbox属性
<iframe src="sandboxedpage.html" sandbox="allow-scripts"></iframe>
,你甚至可以指定不同的权限脆弱。
希望我们能尽快使用安全和简单的元编程,但我们还没有。
+0
伟大的答案 - 我一直在寻找沙盒iframes和使用严格模式。感谢您发布答案。 – 2012-05-30 01:15:02
相关问题
- 1. 如何在浏览器中编辑Javascript?
- 2. 无法在Realm浏览器中编辑
- 3. Microsoft Monaco编辑器在浏览器中获得行值
- 4. 浏览器Javascript存储和执行的地方在哪里?
- 5. 浏览器在“PageUnload”和新的“PageLoad”后继续执行Javascript
- 6. Eclipse插件。浏览器编辑器
- 7. 表内浏览器HTML编辑器?
- 8. JavaScript浏览器内部编辑器的名称
- 9. 在浏览器中查找执行线
- 10. 基于浏览器的yaml编辑器,最好在PHP中?
- 11. 浏览器渲染和javascript执行的同步/异步性质
- 12. 访问浏览器的编辑字段
- 13. 带Java和And webkit的HTML编辑器 - SWT浏览器
- 14. 在parse.com中添加一行手动编辑数据浏览器
- 15. 可以执行JavaScript的服务器端浏览器
- 16. 在浏览器中突出显示和编辑XML
- 17. Rails如何在浏览器中编辑和保存文件?
- 18. 在非WebKit浏览器中推迟JavaScript执行
- 19. 如何使用Wikipedia API在浏览器上编辑页面javascript?
- 20. 移动浏览器和JavaScript
- 21. JavaScript和浏览器标签
- 22. IE浏览器和Javascript
- 23. 浏览器编辑控件中的Tab键行为
- 24. 从浏览器中执行HTTP PUT
- 25. 编辑器/浏览器显示和分析Maven日志?
- 26. c#WYSIWYG编辑器使用浏览器和richtextbox
- 27. 浏览器端照片编辑库
- 28. C#浏览器搜索功能(编辑)
- 29. 浏览器何时执行位于缓存中的JavaScript?
- 30. 在FF和Internet Explorer中,Chrome浏览器中的Chrome浏览器
http://jsbin.com是开源的,[托管在github上](https://github.com/remy/jsbin)。使它很容易研究它的代码。 – Sampson 2012-04-18 16:13:12
只需将代码在不同的域上执行,即可完成。 – Yoshi 2012-04-18 16:28:24
你读过关于eval的邪恶的东西吗? – user123444555621 2012-04-18 21:48:40