커뮤니티 회원이 다른 사람들이 자신의 자바 스크립트 코드를 제공하도록 허용하고 싶습니다. 사용자의 상상력이 내가 생각할 수있는 것보다 훨씬 큽니다.외부 코드를 '안전'으로 실행하려면 어떻게해야합니까? 그냥 eval()을 금지 하시겠습니까?
그러나 이는 특히 내재적 인 보안 문제를 야기합니다. 특히 에 외부 코드를 실행할 수 있도록 허용해야합니다.
그래서, eval()
을 제출하지 못하게 할 수 있습니까? 아니면 자바 스크립트에서 코드를 평가하거나 대량 패닉을 일으키는 다른 방법이 있습니까?
허용하지 않는 다른 사항이 있지만 가장 주요한 관심사는 문자열을 실행하지 못하도록하지 않으면 특정 방법으로 다른 필터를 넣을 때 방해받을 수 있다는 것입니다. 또는 저자가 웹 서비스 인터페이스를 제공하도록 요구해야합니까?
무제한적인 권한을 가진 언어를 가져 와서 더 안전하게하기 위해 보안 작업을해온 긴 역사가 있습니다. 위에서 언급 한 Joe-E 언어와 Caja 언어를 참조하십시오. –