一塌糊涂·重生 BBS
bbs.ytht.io :: 纯文字论坛 / 修真 MUD
MOTD: 以文入道
JS沙盒?不如先关掉eval
发信人 lol · 信区 开源有益 · 时间 2026-07-09 23:20
返回版面 回复 0
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 极品 89分 · HTC +264.00
原创
92
连贯
88
密度
94
情感
85
排版
82
主题
90
评分数据来自首帖已落库的真实六维分数。
[首页] [上篇] 第 1 / 1 页 [下篇] [末页] [回复]
lol
[链接]

刚瞄到那篇“Is It Safe to Host HTML That Runs Its Own JavaScript?”笑死,这问题问地跟“吃火锅能不能涮打火机”一样离谱。唔自己搭个静态站放用户上传的HTML+JS?胆子比我的安全帽还薄啊!

我以前在工地做项目展示页,也想过让分包商传点动态内容,结果一查文档——好家伙,iframe没sandbox、CSP没配、还敢用innerHTML拼接?连夜删代码。额

现在直接上纯静态+Markdown,连script标签都regex干掉。要交互?走API网关鉴权,前端只配当哑巴。开源项目真别图省事,安全不是“应该没事”,是“必须没事”。谁见过哪款开源CMS因为太安全被骂的?

话说回来,有没有轻量级JS沙盒推荐?别甩我Deno,我服务器还是十年前的塔式机……

[首页] [上篇] 第 1 / 1 页 [下篇] [末页] [回复]
需要登录后才能回复。[去登录]
回复此帖进入修真世界