- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我真的很想为用户提供一些脚本功能,同时不让他们访问更强大的功能,比如改变 DOM。也就是说,所有输入/输出都通过给定接口(interface)进行隧道传输。就像一种受限制的 javacsript。
例子:如果接口(interface)是checkanswer(func)
这是允许的:
checkanswer( function (x,y)={
return x+y;
}
但是这些是不允许的:
<罢工> alert(1)
document.write("hello world")
eval("alert()")
编辑:我想到的是一种使用 javascript 实现的简单语言,类似于 http://stevehanov.ca/blog/index.php?id=92
最佳答案
(编辑 这个答案与你的预编辑问题有关。不知道有没有使用 Javascript 实现的脚本语言,尽管我预计会有一些。例如,有一次有人写了 BASIC对于 Javascript(曾经有一个链接,但它已经腐烂)。因此,这个答案的其余部分非常学术,但我将其保留只是为了讨论、说明,甚至是出于警示目的。另外,我绝对同意 bobince's points — 不要自己做,使用他人的作品,例如 Caja 。)
如果您允许在用户生成的内容中编写任何脚本,请做好准备,因为您将进入一场军备竞赛,人们会在您的保护机制中寻找漏洞并加以利用,然后您会对这些漏洞做出响应。我想我可能会回避它,但你知道你的社区和你处理虐待的选择。因此,如果您为此做好了准备:
由于 Javascript 执行符号解析的方式,似乎应该可以在 window
、document
、ActiveXObject 的上下文中评估脚本
、XMLHttpRequest
和类似内容没有它们通常的含义:
// Define the scoper
var Scoper = (function() {
var rv = {};
rv.scope = function(codeString) {
var window,
document,
ActiveXObject,
XMLHttpRequest,
alert,
setTimeout,
setInterval,
clearTimeout,
clearInterval,
Function,
arguments;
// etc., etc., etc.
// Just declaring `arguments` doesn't work (which makes
// sense, actually), but overwriting it does
arguments = undefined;
// Execute the code; still probably pretty unsafe!
eval(codeString);
};
return rv;;
})();
// Usage:
Scoper.scope(codeString);
(现在使用了邪恶的 eval
,但我无法立即想到一种不使用 eval
来跨浏览器隐藏默认对象的方法,如果你无论如何都以文本形式接收代码...)
但它不起作用,它只是部分解决方案(更多内容见下文)。那里的逻辑是,在 codeString
中的代码中访问 window
(例如)的任何尝试都将访问局部变量 window
,而不是全局变量;其他人也一样。不幸的是,由于符号的解析方式,可以使用或不使用 window.
前缀访问 window
的任何属性(例如,alert
), 所以你也必须列出这些。这可能是一个很长的列表,尤其是因为 bobince指出,IE 会将任何具有名称或 ID 的 DOM 元素转储到 window
上。因此,您可能必须将所有这些都放在它自己的 iframe 中,这样您就可以围绕那个问题进行最终运行,并且“只”必须处理标准的东西。另请注意我是如何使 scope
函数成为一个对象的属性,然后您仅通过该属性调用它。这就是 this
被设置为 Scoper
实例(否则,在原始函数调用中,this
默认为 window
!).
但是,正如 bobince 指出的那样,处理事情的方式有很多种。例如,codeString
中的这段代码成功地打破了上面的 jail :
(new ('hello'.constructor.constructor)('alert("hello from global");'))()
现在,也许您可以更新 jail 以使特定的漏洞利用无效(使用所有的 constructor
属性 - all - 内置对象),但我倾向于怀疑它。如果你可以,某人(比如 Bob)就会想出一个新的漏洞,就像这个:
(function(){return this;})().alert("hello again from global!");
因此出现了“军备竞赛”。
做到这一点的唯一真正彻底的方法是在您的站点中内置一个适当的 Javascript 解析器,解析他们的代码并检查非法访问,然后才让代码运行。这是很多工作,但如果您的用例证明它是合理的...
关于javascript - 有没有办法在 Javascript 中入狱,以便 DOM 不可见,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2673695/
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 6 年前。 Improve
Polymer的light DOM和local DOM有什么区别?来自文档(1): The DOM that an element creates and manages is called its
当内容添加到网页时,我需要触发一个 Action 。更新可能具有不同的性质(例如 AJAX、延迟脚本、用户操作)并且不受我的控制。 我想使用 DOM 突变事件,但它们并非在所有浏览器中都可用。是否有为
我刚遇到一个有趣的情况,我有一个提交 放置在 内的 native 自定义元素的 Shadow DOM 内. Select #shadow-root ...
假设有一个滚动列表,当我插入一些新的 DOM 附加到当前 dom 时,它工作正常。上拉 但是如果我之前插入一些新的 DOM,新的 DOM 将在视口(viewport)中,而旧的 DOM 将被下推。下拉
在我的项目中实现 Shadow DOM 是否会使它们像 React 使用的虚拟 DOM 一样更快? 最佳答案 它们是不同用途的不同事物,因此比较性能没有意义。 虚拟 DOM 虚拟 DOM 旨在避免对
在我的页面内容上,我将多张卡片组织成网格 __________________ | ____ ____ | | | | | | | | | | | |
是否可以在浏览器中看到(调试)从 DOM 元素触发的自定义事件? 假设我想查看 Bootstrap Collapse 的哪个特定元素触发了 show.bs.collapse event ,我能以某种方
我正在生成用于客户端的 XPaths 服务器端,我很困惑为什么在 DOM 中找不到表路径(即 td 中的内容)。 事实证明,现代浏览器(至少是 Chrome 和 Firefox)插入了 tbody在文
是否可以检索文本节点的几何位置(即从父元素、页面等的顶部/左侧偏移量)? 最佳答案 不是直接的。 TextNode 没有用于测量视口(viewport)定位的原始 IE 偏移*(和类似的)扩展。 仅在
以下语句中的 DOM 元素的含义是什么? Statement #1 You can add multiple classes to a single DOM element. Statement #2
有没有办法让 firebug(或任何其他浏览器,或使用任何其他工具)阻止任何 dom 操作的发生?有时布局调试充满悬停事件的屏幕是不可能的,因为元素可能会消失,并且您看不到它们的复合布局。 最佳答案
我需要在html文档中搜索 text here 然后输出完整的节点路径(CSS或XPATH) 例如 html > body > div class ="something" > table > tr
这是我的一个页面的典型加载时间如何拆分为:- Domain Lookup 0 0 % Connect 134 .3% Request
我的 .on() 工作时遇到一些问题。我的网站是here . 如果你看看 www.eliteweb-creation.co.uk/dev/js/nav.js,我正在 mouseenter 和 mous
我是 Javascript 的新手,负责将我们产品的 UI 从 YUI2 迁移到 YUI3。看起来哪里都没有迁移指南,所以我现在正在浏览互联网帖子和 yui 文档。 在我的全局范围内,我临时添加了类似
我想和实习生一起测试一些 DOM 相关的东西,不需要特定的固定装置,只是一般的 DOM 东西,比如我改变了 Element.prototype。这是否需要通过本地 Selenium 服务器(或 sau
我是 HTML 和 HTML5 的初学者。 当我阅读以下内容时 link ,我找到了术语 DOM 和 DOM API。我通读了维基百科,但无法理解其背后的全部思想。 谁能给我解释一下: 文档对象模型
我有两个主要问题。 Object 之类的扩展是否算数? 什么是 DOM 包装? http://perfectionkills.com/whats-wrong-with-extending-the-do
对不起查询,原型(prototype),雅虎 YUI,道场在考虑小的时候不吸引我。我想要一个模块化的库,代码尽可能小,最多 20Kb [un compressed] 是我所期望的。应该提供 Dom 操
我是一名优秀的程序员,十分优秀!