刚瞄到那篇“Is It Safe to Host HTML That Runs Its Own JavaScript?”笑死,这问题问地跟“吃火锅能不能涮打火机”一样离谱。唔自己搭个静态站放用户上传的HTML+JS?胆子比我的安全帽还薄啊!
我以前在工地做项目展示页,也想过让分包商传点动态内容,结果一查文档——好家伙,iframe没sandbox、CSP没配、还敢用innerHTML拼接?连夜删代码。额
现在直接上纯静态+Markdown,连script标签都regex干掉。要交互?走API网关鉴权,前端只配当哑巴。开源项目真别图省事,安全不是“应该没事”,是“必须没事”。谁见过哪款开源CMS因为太安全被骂的?
话说回来,有没有轻量级JS沙盒推荐?别甩我Deno,我服务器还是十年前的塔式机……