个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
已经有some discussion on the cap-talk mailing list围绕 Lua 和 Javascript 是否支持对象能力模型,得出的结论是,由于支持通过 setfenv 将环境限制为被调用函数,以及对不可变对象(immutable对象)的不可伪造引用的可能性,OCM 可以是已实现。
我们看到这是如何实现的吗?我感兴趣的是从现有应用程序中删除漏洞利用,并在 Lua 中提供非常有用、慷慨的脚本支持,不幸的是,Lua 允许在各种情况下进行完整的 shell 访问。需要一些 shell 访问:对象能力模型似乎是管理事物的好方法。但我担心我能如何令人信服地证明这种方法在肯定会是困惑的实践中实际上是可验证的安全性。
一些链接:
setfenv;显示了表格背后的基本思想,在适当的情况下,表格可以被设置为只读最佳答案
我无法与 Lua 对话,但对于 Javascript,Caja 有工具可以创建适当的沙箱,限制仅访问某些功能。它最初是为了为 HTML/JS 小部件(如 iGoogle 上使用的小部件)构建沙箱而创建的。
http://code.google.com/p/google-caja/
以下是他们主页上对该项目的描述:
Caja (pronounced "KA-ha"), is a Spanish word that means box, bank, cash register, vault; a container for valuables. A web developer uses traditional tools like HTML, JavaScript, and CSS; and Caja provides a compiler (a "cajoler") that takes the web application and produces a "cajoled" HTML web application. The cajoler tries to verify security properties by doing static analysis, and where it cannot it rewrites the input to add runtime checks.
Since web applications make common use of browser APIs, e.g. the DOM APIs, that give a huge amount of control over the web page, Caja provides tamed APIs that virtualize portions of the DOM. A containing page can set up the embedding application's environment so that the embedded application thinks it is interacting with the DOM of a full page, but is in fact only manipulating a bounded portion of the containing page via a mechanism called virtual iframes.
The JavaScript that a Caja application uses is written in a fail stop subset of JavaScript (actually EcmaScript5). This subset, called "Valija", includes almost the entire JavaScript language, but removes a few error-prone constructs such as with and restricts how eval may be used.
关于security - Lua : what experience is there? 的功能,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4134114/
27
4
0
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
有谁知道我如何在两个页面(原始和变体)上同时设置和运行多个实验(或单个实验),并带有十几个指向注册页面的链接,以确定这两种变体中的哪一个产生更好的转化(有多少人点击进入两种变体中的任何一种的注册页面,
在正常条件下是否有推荐的最小按钮尺寸? 我所说的“推荐”是指一些文件规定的,例如: Apple HCI 指南 Windows 用户体验指南 或一些 ISO 标准.. “正常”条件是指: 桌面/办公室使
我们是否可以引用任何证据来帮助确定一个人是左手还是右手使用设备(智能手机/平板电脑)? 我的直觉是,也许只有在用户操纵某种屏幕输入时,您才能够使用加速度计数据来检测轻微的倾斜。 我要寻找的答案可能是这
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 提供事实和引用来回答它. 8年前关闭。 Improve this
我能想到的是根据用户的地理信息预先填充某些表单输入元素。 您还能想到哪些其他方法来加快用户在长申请表上的输入速度? 或者至少让他们专注于填写申请表? 最佳答案 如果您的表格很长,请尝试将其修剪掉。不要
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 7 年前。 Improve
有什么地方可以让我查看一些用户仪表板的 UX 模板?显示客户的订单历史记录、地址之类的东西? 最佳答案 我不确定您是指用户的仪表板还是企业使用的显示用户数据的仪表板。这些是后者——它们可能会给你一些灵
我刚刚在 DartPad 中尝试了以下操作: void main() { int? x; } 并得到以下错误: Error compiling to JavaScript: main.dart:2
是否有任何方法可以从 GWT“订阅”JSON 对象流并监听保持事件连接上的传入事件,而无需尝试一次获取所有事件?我相信这项技术的流行词是“Comet”。 假设我有 HTTP 服务,该服务打开保持事件连
我正在为教师(非程序员)创建一个社交网站,教师可以在上面添加事件、链接、练习、技巧、类(class)计划、书籍等。 我希望他们能够像我们在 StackOverflow 所做的那样为这些项目中的每一个添
已经有some discussion on the cap-talk mailing list围绕 Lua 和 Javascript 是否支持对象能力模型,得出的结论是,由于支持通过 setfenv
我正在为一个函数编写测试代码,该函数将检查 Twitter 中是否存在用户名。我正在使用 Hapi 框架和 Lab 进行测试。 当我运行 npm test 时,出现以下错误: > NameGen@0.
我使用 PayPal REST API 在我的网上商店应用程序中创建结帐流程。几乎一切正常,但 Web 体验配置文件除外。 到目前为止,我尝试检查具有特定名称的配置文件是否已经存在(因为网络应用程序之
Experience Manager (XPM)(SDL Tridion 2011 SP1 的用户界面更新)允许管理员创建页面类型,其具有与页面一样的组件演示,但还可以添加有关如何创建和允许其他内容类
我正在测量两个站点之间的转化率 - 一个站点 ( abc.com ) 有一个 iframe,其中包含来自另一个站点 ( cde.com ) 的注册表。我需要衡量真正的转化率,这意味着只有成功的注册。为
我正在尝试了解实现 Tridion XPM 的不同工件。不幸的是,我没有找到任何文章可以回答我的问题。 例如,内容交付服务器(在 WebSphere 上)可以有四种不同的应用程序,一种用于内容交付(处
我有一个在 GT-Suite 中创建的 fmu,并尝试在 python 中使用它。 我已经遵循了 jmodelica 教程 from pyfmi import load_fmu model = loa
AEM 是否提供允许再次启用禁用用户的功能?我有一个用例,其中一些项目成员加入了 AEM 项目。管理员禁用其用户以防止登录。现在我必须再次启用它们。 最佳答案 是的,可以,您可以将帐户设置为 Acti
我是一名优秀的程序员,十分优秀!