go - goplay怎么了？

Question

goplay怎么了？我在/misc/goplay 看到很多关于 go 附带的实用程序的早期引用。然而，这似乎已在 go1.3 中删除

旧版本在 go1.3beta2 之前仍然可以在源代码库中查看:go1.3beta2: misc/goplay/ ，如果您在本地安装它，则可以使用。仔细查看了一下，我发现它在修订版 2daa4d89e0d9 时被删除了引用对代码执行的担忧。

Playground 很棒，但运行您自己的本地实例似乎并不容易，该实例将与路径上的所有库一起使用，对于某些库，尤其是 svgo，它似乎非常有用拥有像goplay这样的实用程序。是否有一些新的实用程序可以取代它？是否有第三方实用程序的规范选择来实现相同的效果？

Answer 1

删除它的提交信息看起来相当直截了当。任何可以连接到 goplay 服务器的人都可以作为用户执行任意代码。

默认情况下它监听 localhost，这使得它容易受到机器上其他本地用户的攻击，但如果您将它配置为监听另一个地址，它将允许远程代码执行。

您将使用 Go Playground 上不可用的包的能力作为一个好处，但这也是 goplay 不太安全的原因:选择 Playground 可用的包集是为了关闭攻击向量。

该代码在版本库历史中仍然可用，因此您可以根据需要下载并编译它，但不推荐这样做。对于本地开发，您可能会通过教您最喜欢的文本编辑器运行 go run filename.go 以响应快捷方式或按钮按下来获得更好的体验。