草庐IT

javascript - 是否有可能 "sandbox"任意 JavaScript 只在一个 <div> 上操作而不是整个文档?

coder 2024-05-10 原文

我想做的是强制一些任意的 JavaScript 代码在 DOM 元素“内部”执行,例如<div> .换句话说,是否有可能让一段代码“思考” <div>是文档层次结构的根(或文档的 <body>)?

现实生活中的例子:

假设我们有一个允许执行 JavaScript 代码的页面:

<!DOCTYPE html>
<html>
<head>
  <title>Executor</title>
  <script type="text/javascript" src="jquery.js"></script>
</head>
<body>
  <div></div>
  <input/>
  <button onclick="$('div').html(eval($('input').val()))">
    Execute
  </button>
</body>
</html>

代码可以访问整个文档并可以对其进行修改,例如:

$("input").hide()

将阻止我再写任何愚蠢的代码;-)

是否可以限制某些 JavaScript 代码的影响区域?如果可能,该怎么做?

最好的问候。

编辑:

我想执行的代码可能就是一切。如果您的解决方案是基于对给定代码的某种修改,请描述如何以正确的方式进行修改。

编辑2:

首先,我不知道为什么我得到了反对票。

其次,我要执行的代码是别人的任意代码,不是我的。

为了让一切都清楚:

我真正想做的是以某种方式模拟浏览器。获取某个网页的内容,并插入到我的。当我们决定关闭 JavaScript 并删除它可能出现的所有地方时,这相对容易,但这是我做不到的。现在我只想限制 DOM 修改(恶意代码)。稍后,当我有一个基本想法时,我将致力于重定向和 cookie。

最佳答案

实现代码块完全隔离和封装的最好方法是将其放入一个iframe,并将其放在您站点的子域中,这样外部HTML页面的域名就不会与内部HTML页面相同HTML 页面。在 iframe 内部,JavaScript 只能看到 iframe URL 的 DOM,无法访问外部 DOM。这种隔离由浏览器安全模型强制执行。

此技术的优点在于,您可以高度确信在 iframe 内运行的脚本不会泄漏并从您的外部页面窃取数据。这种隔离也是不利的一面——在外部页面和内部页面之间共享数据变得更加困难。要在 iframe 和外部页面之间提供受控访问或数据共享,您可以研究多种跨域数据共享技术。如果您只需要在 iframe 内页“处”抛出参数,您可以将 URL 上的数据作为查询参数传递。如果您需要双向数据交换,您可以使用域降低技术将域名简单地对齐,以便浏览器允许外部页面和内部页面之间的数据交换。

由于您提议对输入控件中输入的任意代码执行 eval(),因此您绝对应该保护您的主页逻辑免受潜在的黑客攻击。使用 iframe。

关于javascript - 是否有可能 "sandbox"任意 JavaScript 只在一个 <div> 上操作而不是整个文档?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3320363/

amp上操strongsectioncodejavascriptsecurity

有关javascript - 是否有可能 "sandbox"任意 JavaScript 只在一个 <div> 上操作而不是整个文档?的更多相关文章

  1. ruby-on-rails - rails : "missing partial" when calling 'render' in RSpec test - 2

    我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou

  2. ruby-on-rails - 由于 "wkhtmltopdf",PDFKIT 显然无法正常工作 - 2

    我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-

  3. ruby - 检查 "command"的输出应该包含 NilClass 的意外崩溃 - 2

    为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar

  4. ruby-on-rails - 使用 rails 4 设计而不更新用户 - 2

    我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它​​不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数

  5. ruby-on-rails - 迷你测试错误 : "NameError: uninitialized constant" - 2

    我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test

  6. ruby-on-rails - 相关表上的范围为 "WHERE ... LIKE" - 2

    我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que

  7. 使用 ACL 调用 upload_file 时出现 Ruby S3 "Access Denied"错误 - 2

    我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file

  8. ruby - 安装 Ruby 时遇到问题(无法下载资源 "readline--patch") - 2

    当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub

  9. ruby - RVM "ERROR: Unable to checkout branch ."单用户 - 2

    我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas

  10. ruby - 如何关闭 ruby​​ gem "Spreadsheet?"中的文件 - 2

    下面的代码在我第一次运行它时就可以正常工作:require'rubygems'require'spreadsheet'book=Spreadsheet.open'/Users/me/myruby/Mywks.xls'sheet=book.worksheet0row=sheet.row(1)putsrow[1]book.write'/Users/me/myruby/Mywks.xls'当我再次运行它时,我会收到更多消息,例如:/Library/Ruby/Gems/1.8/gems/spreadsheet-0.6.5.9/lib/spreadsheet/excel/reader.rb:11

随机推荐