In che modo jsFiddle consente ed esegue JavaScript definito dall'utente senza essere pericoloso?

Ho lavorato su una libreria JS e vorrei configurare una pagina demo su Github che consenta, ad esempio, agli utenti di definire i propri callback ed eseguire comandi.In che modo jsFiddle consente ed esegue JavaScript definito dall'utente senza essere pericoloso?

So che "eval() è malvagio" e posso vedere quanto cieco eval() di script potrebbe portare a XSS e altri problemi di sicurezza. Sto cercando di preparare alcuni schemi alternativi.

Mi piace molto l'interattività di jsFiddle. Ho dato un'occhiata alla loro fonte, ma speravo che qualcuno potesse esporre qui come jsFiddle consente ed esegue JavaScript definito dall'utente senza essere pericoloso. Fintanto che non coinvolge un server echo di terze parti, spero di poter emulare l'approccio.

fonte

2011-11-04 buley

jsFiddle esegue script utente su un dominio separato, http://fiddle.jshell.net (try it and see).
Pertanto, non può interagire con il frame principale e non può rubare i cookie.

In realtà è possibile eseguire questa operazione senza un server separato posizionando una pagina statica in un dominio separato che legge dalla sua querystring in Javascript.
Puoi comunicare usando il titolo della pagina (e così anche il nemico).

fonte

2011-11-04 01:38:03 SLaks

Che cosa significa eseguire su un dominio separato - caricare un iFrame contenente una pagina che esegue JavaScript? – buley

@editor: esattamente. La pagina in '' deve essere su un dominio separato che non ha nulla che possa essere attaccato (nessun cookie) – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/34397/">SLaks</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">@SLaks - Perché 'alert (document.cookie);' funziona in jsFiddle? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1038284119" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1575177025"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img.uwenku.com/uwenku/script/side.js?t=1644592048671"></script> <script type="text/javascript" src="http://img.uwenku.com/uwenku/plugin/highlight/highlight.pack.js"></script> <link href="http://img.uwenku.com/uwenku/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="5415218910" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> Ultima domanda </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://it.uwenku.com/question/p-wsyvnpgk-r.html" target="_blank" title="Entity Framework Core 1.0 migrazioni code-first utilizzando il codice?"> Entity Framework Core 1.0 migrazioni code-first utilizzando il codice? </a> </li> <li class="side_article_list_item"> 2. <a href="http://it.uwenku.com/question/p-enkabicb-bx.html" target="_blank" title="Perché la suite di test GHC è scritta in Python, non Haskell?"> Perché la suite di test GHC è scritta in Python, non Haskell? </a> </li> <li class="side_article_list_item"> 3. <a href="http://it.uwenku.com/question/p-uyapeujy-bn.html" target="_blank" title="ASP.net nucleo 1.0 web.config viene sovrascritto causando eccezioni CGI"> ASP.net nucleo 1.0 web.config viene sovrascritto causando eccezioni CGI </a> </li> <li class="side_article_list_item"> 4. <a href="http://it.uwenku.com/question/p-bcgyjyqs-cd.html" target="_blank" title="monitoraggio commutazione applicazione su OS X"> monitoraggio commutazione applicazione su OS X </a> </li> <li class="side_article_list_item"> 5. <a href="http://it.uwenku.com/question/p-cuoxmxel-bw.html" target="_blank" title="Android - disegno ImageView precisamente sulla parte superiore della vista esistente nel livello più profondo"> Android - disegno ImageView precisamente sulla parte superiore della vista esistente nel livello più profondo </a> </li> <li class="side_article_list_item"> 6. <a href="http://it.uwenku.com/question/p-dpawodii-bz.html" target="_blank" title="Come comprendere l'architettura pulita di VIPER?"> Come comprendere l'architettura pulita di VIPER? </a> </li> <li class="side_article_list_item"> 7. <a href="http://it.uwenku.com/question/p-hrdzlrtn-bq.html" target="_blank" title="Errore: impossibile trovare l'uscita principale per caricare 'ProfileDetailsComponent'"> Errore: impossibile trovare l'uscita principale per caricare 'ProfileDetailsComponent' </a> </li> <li class="side_article_list_item"> 8. <a href="http://it.uwenku.com/question/p-xggmcexw-bc.html" target="_blank" title="Come accedo al contenuto di ng?"> Come accedo al contenuto di ng? </a> </li> <li class="side_article_list_item"> 9. <a href="http://it.uwenku.com/question/p-rbxdbawy-by.html" target="_blank" title="Evento onload angolare 2 per un elemento DOM nativo"> Evento onload angolare 2 per un elemento DOM nativo </a> </li> <li class="side_article_list_item"> 10. <a href="http://it.uwenku.com/question/p-quwizijp-v.html" target="_blank" title="Angular 2: Come importare correttamente normalize.css"> Angular 2: Come importare correttamente normalize.css </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> Problemi correlati</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item">Nessun problema correlato^_^</li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://it.uwenku.com/contact">Contattaci</a></li> <li>© 2020 IT.UWENKU.COM</li> <li><a target="_blank" href="https://beian.miit.gov.cn/">沪ICP备13005482号-4</a></li> <li><script type="text/javascript" src="https://v1.cnzz.com/z_stat.php?id=1280101193&web_id=1280101193"></script></li> <li><a href="http://www.uwenku.com/" target="_blank" title="优文库">简体中文</a></li> <li><a href="http://hk.uwenku.com/" target="_blank" title="優文庫">繁體中文</a></li> <li><a href="http://ru.uwenku.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.uwenku.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.uwenku.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.uwenku.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.uwenku.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.uwenku.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.uwenku.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.uwenku.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.uwenku.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.uwenku.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.uwenku.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?f78a970f17b19a79fc477a3378096f29"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>

In che modo jsFiddle consente ed esegue JavaScript definito dall'utente senza essere pericoloso?

risposta