gpt4 book ai didi

javascript - 此代码块的 eval() 函数的替代方案

转载 作者:行者123 更新时间:2023-12-02 16:29:56 25 4
gpt4 key购买 nike

我正在开发像 JSBin 这样的 HTML 代码编辑器。我正在使用 eval() 来评估编辑器的 JS 文本框中的 JavaScript。但是,我发现由于安全问题我无法在线使用它。

请帮助我找到替代方案。这是我的代码。

<!doctype html>
<html lang="en">
<head>
<title>CodeMash - The HTML Code Player</title>
<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.3/jquery.min.js"></script>
</head>

<style>

body{
margin: 0;
padding: 0;
font-family: "HelveticaNeue-Light", "Helvetica Neue Light", "Helvetica Neue", Helvetica, Arial, "Lucida Grande", sans-serif;
font-weight: 300;
}

#topMenu{
width: 100%;
height: 40px;
background-color: #e0e0e0;
border-bottom: 2px solid grey;
}

#logo{
font-weight: bold;
font-size: 130%;
padding: 5px 0 0 20px;
float: left;
}
#run{
float: right;
padding: 5px 10px;
font-weight: 120%;
}
#runButton{
width: 70px;
height: 30px;
}
#choice{
width: 177.5px;
margin: 0 auto;
list-style: none;
border: 1px solid grey;
height: 27px;
border-radius: 3px;
padding: 0;
position: relative;
top: 5px;

}
#choice li{
float: left;
padding: 5px 2px;
border-right: 1px solid grey;
}

.clear{
clear: both;
}

.codeBox{
height: 100%;
width: 50%;
float: left;
position: relative;
}

.codeBox textarea{
width: 100%;
height: 100%;
float: left;
font-family: monotype;
font-size: 120%;
padding:5px;
box-sizing: border-box;
}

.codeType{
position: absolute;
right: 20px;
top: 10px;
}
#CSSBox , #JSBox{
display: none;
}

iframe{
height: 100%;
position: relative;
left: 20px;
border: none;
}

.select{
background-color: grey;
}

</style>

<body>

<div id="wrapper">

<div id="topMenu">
<div id="logo">
CodeMash
</div>
<div id="run">
<button id="runButton">Run</button>
</div>
<ul id="choice">
<li class="toggle select">HTML</li>
<li class="toggle">CSS</li>
<li class="toggle">JS</li>
<li style="border:none" class="toggle select">RESULT</li>
</ul>
</div>
<div class="clear"></div>

<div class="codeBox" id="HTMLBox">
<div class="codeType">HTML </div>
<textarea id="htmlCode">Hello</textarea>
</div>
<div class="codeBox" id="CSSBox">
<div class="codeType">CSS </div>
<textarea id="cssCode">html{background-color:blue}</textarea>
</div>
<div class="codeBox" id="JSBox">
<div class="codeType">JS</div>
<textarea id="jsCode">alert('HELLO WORLD!!!!');</textarea>
</div>
<div class="codeBox" id="RESULTBox">
<div class="codeType">RESULT</div>
<iframe id="result"></iframe>
</div>
</div>

<script>
var windowHeight=$(window).height();
var menuBarHeight=$("#topMenu").height();
var codeBoxHeight=windowHeight-menuBarHeight;
$(".codeBox").height(codeBoxHeight+"px");

$(".toggle").click(function(){
$(this).toggleClass("select");

var active=$(this).html();
$("#"+active+"Box").toggle();

var showDiv=$(".codeBox").filter(function(){
return($(this).css("display")!="none");
}).length;

var width=100/showDiv;
$(".codeBox").css("width",width+"%");
});

$("#runButton").click(function(){
$("iframe").contents().find("html").html('<style>'+$("#cssCode").val()+'</style>'+$("#htmlCode").val());
document.getElementById("result").contentWindow.eval($("#jsCode").val());
});





</script>
</body>
</html>

最佳答案

很难准确地弄清楚您真正要问的是什么。

在用户生成的内容上运行eval()(看起来您正在这样做)确实会带来各种安全风险,因为它允许将用户生成的代码直接注入(inject)到它所使用的上下文中。一般情况下可能进不去。这就是事实,你无法改变它。如果您要运行任意用户代码(无论您如何执行),您都会面临这种风险。

大多数想要运行任意用户生成代码的网站所做的是将用户生成的代码隔离在不同的域中,由于浏览器的跨域限制,运行用户生成的代码的域无法自由访问其余的域。页面位于其他域中,无法自由访问您的主服务器。这给你一些保护。仔细观察 jsFiddle 的作用,您将看到该技术被使用,因为用户的代码被提供到来自 http://fiddle.jshell.net 的 iframe 中,这与制作 jsFiddle 的其他框架不同。网站作品来自http://jsfiddle.net。 jsFiddle 还为 iframe 使用了一些沙箱功能。

在最新的浏览器中,您还可以使用sandbox capabilities设置额外的跨框架安全限制。 (仅限最新一代浏览器)。

关于javascript - 此代码块的 eval() 函数的替代方案,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28397931/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com