代码之家  ›  专栏  ›  技术社区  ›  Aaron Butacov

动态沙盒内联javascript的最佳方法是什么?

sandbox security ajax javascript
  •  6
  • Aaron Butacov  · 技术社区  · 14 年前

    我有一个WordPress插件,它用Ajax加载页面,并确保与其他插件和“小部件”的兼容性。

    截至目前,我使用以下代码评估要更新的内容块内的所有内联JS: 

      function do_JS(e){
        var Reg = '(?:<script.*?>)((\n|.)*?)(?:</script>)';
        var match    = new RegExp(Reg, 'img');
        var scripts  = e.innerHTML.match(match);
        var doc = document.write;
        document.write = function(p){ e.innerHTML = e.innerHTML.replace(scripts[s],p)};
        if(scripts) {
            for(var s = 0; s < scripts.length; s++) {
                var js = '';
                var match = new RegExp(Reg, 'im');
                js = scripts[s].match(match)[1];
                js = js.replace('<!--','');
                js = js.replace('-->','');
                eval('try{'+js+'}catch(e){}');
            }
        }
        document.write = doc;
    }

    我希望能够更好地沙盒JS,以便将冲突风险最小化。我的一个想法是动态地创建一个 <iframe> 并在其中运行JS,但我希望有更好的方法来确保兼容性和提高安全性。

    2 回复  |  直到 14 年前
        1
  •  1
  •   Andrew    14 年前

    很可能这并不能满足您的需求,但是如何将脚本文本包装在函数或自执行函数文本中呢? (function(){/*...*/})() . 

    var strEval =  'try{';
strEval += 'widget[' + intWidgetNumber + '] = (function(){';
strEval += js;
strEval += '})();';
strEval += '}catch(e){}';

    这比直接提供更多的保护 eval uation and keeps the code in the same document. 缺点是,如果您导入的代码在全局变量方面很混乱(这可能就是您问这个确切问题的原因),那么您仍然可以让它们的代码在其他代码上乱跳。如果他们使用 this 关键字,它们的代码可能无法按预期工作。But this at least will keep properly declared variables and function declarations in an encapsulated scope.

    I've worked with third-party code a lot (mostly horribly, horribly written ad code) and I've found the best solution is to keep your site code wrapped in a lengthy and unique namespace (mySiteUtils, mySiteGames, etc. or com.mysite.utils, com.mysite.games, etc.). 如果广告公司决定输入与您的准确名称空间相匹配的代码,他们会破坏您的页面,但到目前为止,这从未发生过。

        2
  •  2
  •   Joeri Sebrechts    14 年前

    您可以尝试用CAJA重新编译JavaScript: http://en.wikipedia.org/wiki/Caja_project

    推荐文章
    FrantiÅ¡ek Jeřábek  ·  Java Rhino允许从安全上下文访问Java
    6 年前
    bogus  ·  在NetSuite中找不到保存的捆绑包
    6 年前
    achahbar  ·  kubernetes吊舱被困在集装箱建造中
    6 年前
    Prabhakaran  ·  登录后Paypal API重定向至空白屏幕
    6 年前
    Calimero Milkmannetje  ·  Google Tag Manager集成安全-noscript iframe沙盒
    7 年前
    dts_sl  ·  我如何验证我的消费者权益?(错误8)
    7 年前
    Pramod Badgujar  ·  使用沙盒在Codeigniter中进行Paypal交易
    8 年前
    ensonic  ·  lua环境和模块
    8 年前
    SimeoneSergio  ·  Flash沙盒无法从服务器AS3获取JSON数据
    9 年前
    Madu  ·  无需花钱即可在生产环境中进行应用内购买测试
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号