我想知道网络工作者是否可以安全地沙箱不受信任的 JavaScript 代码。举例来说,在绘图应用程序的上下文中,开发人员可以实现新的绘图工具,您可以将他们的代码放入 webworker 中,并且每当用户单击画布时,向他们发送一条包含光标位置的 JSON 消息,以及图像数据数组,当脚本完成时,它会传回一条包含新图像数据的消息。
这是否安全,或者是否存在我没有想到的风险?
DOM 对网络工作者来说是不可用的,但是可以访问同源的东西,比如indexedDB
。请参阅我的相关问题:
对于不受信任的代码,工作人员是否足够安全 https://stackoverflow.com/questions/25964015/can-workers-be-secure-enough-for-an-untrusted-code
安全的方法是使用sandbox
iframe 的属性:
http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/ http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/
另请看一下我的库,它简化了流程并提供了与沙箱的便捷连接(函数导出而不是消息传递):
https://github.com/asvd/jailed https://github.com/asvd/jailed
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)