假设我们有一个类似Risk的世界地图，它被划分为自定义形状的区域。如何让用户使用HTML5/JavaScript选择一个单独的区域？我假设Canvas2D是第一步，但接下来呢？ 最佳答案 有无数伟大的图书馆。举几个例子:http://d3js.org/http://raphaeljs.com/http://paperjs.org/http://box2d-js.sourceforge.net/http://threejs.org/具体例子:http://bl.ocks.org/mbostock/2206590http://rapha

当对postMessage()方法的targetOrigin使用通配符时，我很难理解安全问题。您调用postMessage()的窗口是否已经有一个我们要将数据发送到的来源？怎么会有人能够干涉它？使用window.location.origin将targetOrigin设置为窗口的原点是否不好？我理解在接收端检查事件源的重要性(如图here所示)，但我似乎无法理解为什么发送端使用通配符作为targetOrigin是不好的当窗口已经有一个特定的原点时。 最佳答案 这本身不是风险。这只是意味着任何人都可以将您的内容嵌入到框架中并阅读您通过

如果安全正确地存储密码是一种良好的风格和安全性，那么要求用户输入密码的网页不应该也是如此吗？考虑这个例子functioncopy(){vartext=document.getElementsById('text');varpass=document.getElementsById('pass');text.value=pass.value;}copy在密码框中输入一些内容，然后单击复制按钮，瞧，它就暴露在世人面前了。但是，如果您从密码框中复制和粘贴，那么您将得到无用的数据。考虑一下您的登录页面上包含的不受您控制的javascript片段的数量(分析、页面流跟踪器、云中的托管脚本)。对于

Javascript不允许您像在C++中那样为对象提供私有(private)数据或方法。哦，实际上，是的，通过一些涉及关闭的解决方法。但是来自Python背景，我倾向于认为“假装隐私”(通过命名约定和文档)已经足够好，或者甚至比“强制隐私”(由Javascript本身强制执行)更可取。当然，我可以想到这不是真的情况——例如人们在没有RTFM的情况下与我的代码进行交互，但我受到指责——但我没有遇到那种情况。但是，有件事让我犹豫了。Javascript大师DouglasCrockford在“Javascript:TheGoodParts”和其他地方反复将虚假隐私称为“安全”问题。Forex

包含隐藏的第3方iFrame的应用程序安全风险是什么？如果我没理解错的话...点击劫持对我来说不是问题，因为我拥有父页面同源策略阻止3p框架与我的dom/cookies/js交互框架是隐藏的，所以我不必担心框架中可能显示的任何内容但是我在Chrome控制台做了一些实验并且...3pframe可以调用alert/prompt之类的东西3p框架可以通过location.href重定向父节点3p框架内的恶意软件(java/flash/activeX)可能会感染我的用户我很想看到可能出现的问题和任何缓解措施的列表，但我找不到好的信息来源。那么...包含隐藏的第3方iFrame的应用程序安全风险

我知道直接修改状态不用setState(...)不会自动更新UI，但我仍然可以这样做:this.state.myValue="foo";this.forceUpdate();我也知道React会等待特定时刻来一次更新多个组件，但是真的有什么令人信服的理由说明我不应该在没有setState(...)的情况下直接改变状态吗？？有两种情况直接改变状态对我来说是有益的:如果我必须修改一个非常长的数组的元素，setState(...)的“集群更新”会带来性能提升与不是每次都浅复制整个数组所带来的性能提升相比，可以忽略不计。如果我在状态的2个不同属性中有2个对同一个对象的引用，并且我想修改这个对象

我开发了一个需要bind方法的Javascript库。不幸的是，IE8不支持bind。有一个polyfillontheMDNwebsite效果很好。我的问题是:此polyfill与其他Javascript库之间是否存在问题或可能不兼容？在任何情况下都可以安全使用吗？ 最佳答案 https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Function/bind#Compatibility对我来说，与原生bind最明显的区别是:ar

我计划为我的学生制作一个快速网页，教他们JavaScript编程。在这个页面上，我想给他们一个文本框并允许他们运行JavaScript，以便他们可以看到工作中语言的动态特性。但是，我很清楚在用户输入上使用eval()通常是一个非常糟糕的主意。发布这样的页面会带来什么样的安全风险？我应该采取哪些步骤来降低这些风险？ 最佳答案 您面临的安全风险是，您从用户那里获取输入并在您网站上的脚本上下文中运行它。想象一下，如果您是一个恶意破解者，无论出于何种原因都可以完全访问修改JavaScript在网站上运行。您可以执行在您的域上运行的JavaS

我们正在为HTML5游戏设计在线Playground。用户可以上传包含他们游戏的zip文件。上传时，zip由服务器解压，每个文件循环检查其扩展名是否符合白名单，允许:.html.js.png.jpg.appcache.m4a.ogg(游戏必须在我们导出这些文件的游戏编辑器中制作)。这应该可以防止人们上传zip、服务器端脚本文件等。然后游戏会转移到我们的静态无cookie域(scirra.net)。在我们的scirra.com页面上玩游戏时，游戏会显示在指向scirra.net域的iframe中。这应该可以防止恶意JS访问scirra.comcookie。这个iframe技术和白名单是否

我是公司的新开发人员，主要从事前端网络开发。我们的销售和营销人员经常要求我们的团队在我们的网站上加入第3方javascript。“这是一个‘小代码片段’。我们的vendor询问您是否可以将其放在我们的主页中”这让我很紧张。我知道这些脚本会降低我们的页面速度，而且我发现在很多情况下我不得不用try/catchblock包围一些代码，以确保这些第3方错误不会影响网站上的其他脚本页。这些脚本以各种形式出现...有些是我们托管的vendor提供的脚本.........有些是我们代码中的引用，但在外部托管...有些脚本内联出现在我们的网站上，它们通过写入DOM将标签插入我们的头部vara=doc