¿Cómo permite jsFiddle y ejecuta JavaScript definido por el usuario sin ser peligroso?

He estado trabajando en una biblioteca JS y me gustaría configurar una página de demostración en Github que permita, por ejemplo, que los usuarios definan sus propias devoluciones de llamada y ejecuten comandos.¿Cómo permite jsFiddle y ejecuta JavaScript definido por el usuario sin ser peligroso?

Sé que "eval() es malo" y puedo ver qué tan ciego eval() de scripts podría llevar a XSS y otros problemas de seguridad. Estoy tratando de cocinar algunos esquemas alternativos.

Realmente disfruto de la interactividad de jsFiddle. He echado un vistazo a su fuente, pero esperaba que alguien pudiera explicar cómo jsFiddle permite y ejecuta el JavaScript definido por el usuario sin ser peligroso. Siempre que no involucre un servidor de eco de terceros, espero poder emular el enfoque.

Fuente

2011-11-04 buley

jsFiddle ejecuta scripts de usuario en un dominio diferente, http://fiddle.jshell.net (try it and see).
Por lo tanto, no puede interactuar con el marco principal y no puede robar las cookies.

En realidad, puede hacer esto sin un servidor por separado al colocar una página estática en un dominio separado que lee de su cadena de consulta en Javascript.
Puedes comunicarte utilizando el título de la página (y también el enemigo).

Fuente

2011-11-04 01:38:03 SLaks

¿Qué significa ejecutar en un dominio separado - cargue un iFrame que contenga una página que ejecute JavaScript? – buley

@editor: Exactamente. La página en el '' debe estar en un dominio separado que no tiene nada que pueda ser atacado (sin cookies) – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/34397/">SLaks</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">@SLaks - ¿Por qué 'alert (document.cookie);' funciona en jsFiddle? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1038284119" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div class="relative-box"> <div class="relative">Cuestiones relacionadas</div> <ul class="relative_list"> <li> 1. <a href="http://es.uwenku.com/question/p-gdmpchrj-b.html" target="_blank" title="¿Por qué esta función javascript se ejecuta sin ser llamada?"> ¿Por qué esta función javascript se ejecuta sin ser llamada? </a> </li> <li> 2. <a href="http://es.uwenku.com/question/p-ugcowzvf-bm.html" target="_blank" title="¿En qué caso puede ser exento de CSRF ser peligroso?"> ¿En qué caso puede ser exento de CSRF ser peligroso? </a> </li> <li> 3. <a href="http://es.uwenku.com/question/p-ediqvidc-bc.html" target="_blank" title="Seriado de clase definido por el usuario, C++ y msgpack"> Seriado de clase definido por el usuario, C++ y msgpack </a> </li> <li> 4. <a href="http://es.uwenku.com/question/p-ylamphdy-be.html" target="_blank" title="Definición de Guid definido por el usuario"> Definición de Guid definido por el usuario </a> </li> <li> 5. <a href="http://es.uwenku.com/question/p-gporfsim-e.html" target="_blank" title="¿Qué tan peligroso es e.preventDefault() ;, y puede ser reemplazado por el seguimiento de teclas/mousedown?"> ¿Qué tan peligroso es e.preventDefault() ;, y puede ser reemplazado por el seguimiento de teclas/mousedown? </a> </li> <li> 6. <a href="http://es.uwenku.com/question/p-rzcmygnv-g.html" target="_blank" title="¿Cómo obtener información sobre un tipo definido por el usuario?"> ¿Cómo obtener información sobre un tipo definido por el usuario? </a> </li> <li> 7. <a href="http://es.uwenku.com/question/p-wmdsmdkd-bm.html" target="_blank" title="¿Cómo crear un vector de tamaño definido por el usuario pero sin valores predefinidos?"> ¿Cómo crear un vector de tamaño definido por el usuario pero sin valores predefinidos? </a> </li> <li> 8. <a href="http://es.uwenku.com/question/p-ghuxxcyi-s.html" target="_blank" title="¿Puede falsificar Array.isArray() con un objeto definido por el usuario?"> ¿Puede falsificar Array.isArray() con un objeto definido por el usuario? </a> </li> <li> 9. <a href="http://es.uwenku.com/question/p-dmzqxley-k.html" target="_blank" title="El método __mul__ definido por el usuario no es conmutativo"> El método __mul__ definido por el usuario no es conmutativo </a> </li> <li> 10. <a href="http://es.uwenku.com/question/p-kaqpcpiw-x.html" target="_blank" title="ASP.NET potencialmente peligroso Solicitar Javascript Regex"> ASP.NET potencialmente peligroso Solicitar Javascript Regex </a> </li> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block; text-align:center;" data-ad-layout="in-article" data-ad-format="fluid" data-ad-client="ca-pub-6208739752673518" data-ad-slot="4606349252"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <li> 11. <a href="http://es.uwenku.com/question/p-raqmfsxc-bs.html" target="_blank" title="C++ montón mínimo con tipo definido por el usuario"> C++ montón mínimo con tipo definido por el usuario </a> </li> <li> 12. <a href="http://es.uwenku.com/question/p-warxzzap-bk.html" target="_blank" title="TIPO definido por el usuario en bases de datos"> TIPO definido por el usuario en bases de datos </a> </li> <li> 13. <a href="http://es.uwenku.com/question/p-ncbruawd-bm.html" target="_blank" title="Symfony2: Dónde establecer un huso horario definido por el usuario"> Symfony2: Dónde establecer un huso horario definido por el usuario </a> </li> <li> 14. <a href="http://es.uwenku.com/question/p-uzvjksfh-e.html" target="_blank" title="Distinct() devuelve duplicados con un tipo definido por el usuario"> Distinct() devuelve duplicados con un tipo definido por el usuario </a> </li> <li> 15. <a href="http://es.uwenku.com/question/p-ygzlxexz-bs.html" target="_blank" title="Matriz OpenCV de tipo definido por el usuario"> Matriz OpenCV de tipo definido por el usuario </a> </li> <li> 16. <a href="http://es.uwenku.com/question/p-mqxrzxui-bb.html" target="_blank" title="Cómo cargar y usar XML en jsFiddle"> Cómo cargar y usar XML en jsFiddle </a> </li> <li> 17. <a href="http://es.uwenku.com/question/p-tshlenay-v.html" target="_blank" title="¿Por qué SafeHandle.DangerousGetHandle() es "peligroso"?"> ¿Por qué SafeHandle.DangerousGetHandle() es "peligroso"? </a> </li> <li> 18. <a href="http://es.uwenku.com/question/p-fmhjvwat-x.html" target="_blank" title="Error "Tipo definido por el usuario no definido" en VB 6 bajo Windows 7"> Error "Tipo definido por el usuario no definido" en VB 6 bajo Windows 7 </a> </li> <li> 19. <a href="http://es.uwenku.com/question/p-qtpyuwwe-p.html" target="_blank" title=""tipo definido por el usuario no definido" de tipo simple costumbre"> "tipo definido por el usuario no definido" de tipo simple costumbre </a> </li> <li> 20. <a href="http://es.uwenku.com/question/p-tnximnde-m.html" target="_blank" title="Cómo poner el tipo de datos definido por el usuario en un diccionario"> Cómo poner el tipo de datos definido por el usuario en un diccionario </a> </li> <li> 21. <a href="http://es.uwenku.com/question/p-abrnyhae-c.html" target="_blank" title="¿Qué usuario ejecuta el git hook?"> ¿Qué usuario ejecuta el git hook? </a> </li> <li> 22. <a href="http://es.uwenku.com/question/p-gcmhqlji-bs.html" target="_blank" title="C++ stat.h tipo incompleto y no puede ser definido"> C++ stat.h tipo incompleto y no puede ser definido </a> </li> <li> 23. <a href="http://es.uwenku.com/question/p-rwhsfkuf-br.html" target="_blank" title="htaccess permite el acceso al usuario específico"> htaccess permite el acceso al usuario específico </a> </li> <li> 24. <a href="http://es.uwenku.com/question/p-syvkerzd-q.html" target="_blank" title="HTML sanitizer en ASP.NET MVC que filtra marcado peligroso, pero permite el resto"> HTML sanitizer en ASP.NET MVC que filtra marcado peligroso, pero permite el resto </a> </li> <li> 25. <a href="http://es.uwenku.com/question/p-qqcyyaou-e.html" target="_blank" title="Cómo decirle a PyDoc que genere documentación para el directorio definido por el usuario"> Cómo decirle a PyDoc que genere documentación para el directorio definido por el usuario </a> </li> <li> 26. <a href="http://es.uwenku.com/question/p-uszqqzgw-br.html" target="_blank" title="¿Cómo diseñaría su base de datos para permitir el esquema definido por el usuario?"> ¿Cómo diseñaría su base de datos para permitir el esquema definido por el usuario? </a> </li> <li> 27. <a href="http://es.uwenku.com/question/p-auvdlicb-h.html" target="_blank" title="Validación de Jquery: ¿permite el número sin el cero inicial?"> Validación de Jquery: ¿permite el número sin el cero inicial? </a> </li> <li> 28. <a href="http://es.uwenku.com/question/p-dmtgxtut-e.html" target="_blank" title="¿Por qué este simple JSFiddle no funciona?"> ¿Por qué este simple JSFiddle no funciona? </a> </li> <li> 29. <a href="http://es.uwenku.com/question/p-yunppgwl-be.html" target="_blank" title="Cómo crear mi propio delgate (delegado definido por el usuario en el objetivo c)"> Cómo crear mi propio delgate (delegado definido por el usuario en el objetivo c) </a> </li> <li> 30. <a href="http://es.uwenku.com/question/p-kyfmmraw-v.html" target="_blank" title="¿Cómo convertir un tipo definido por el usuario a un tipo primitivo?"> ¿Cómo convertir un tipo definido por el usuario a un tipo primitivo? </a> </li> </ul> </div> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1575177025"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img.uwenku.com/uwenku/script/side.js?t=1644592048471"></script> <script type="text/javascript" src="http://img.uwenku.com/uwenku/plugin/highlight/highlight.pack.js"></script> <link href="http://img.uwenku.com/uwenku/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="5415218910" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> Última pregunta </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://es.uwenku.com/question/p-ktxnbzra-bn.html" target="_blank" title="¿Hay una manera rápida de encontrar el extremo faltante en Ruby?"> ¿Hay una manera rápida de encontrar el extremo faltante en Ruby? </a> </li> <li class="side_article_list_item"> 2. <a href="http://es.uwenku.com/question/p-rtfnrwyz-be.html" target="_blank" title="¿Cómo eliminar duplicados en un archivo csv basado en dos columnas?"> ¿Cómo eliminar duplicados en un archivo csv basado en dos columnas? </a> </li> <li class="side_article_list_item"> 3. <a href="http://es.uwenku.com/question/p-myommwgn-u.html" target="_blank" title="Línea de comandos/shell de Windows: descartando la BOM UTF-8"> Línea de comandos/shell de Windows: descartando la BOM UTF-8 </a> </li> <li class="side_article_list_item"> 4. <a href="http://es.uwenku.com/question/p-hzmohpcq-h.html" target="_blank" title="¿Cómo puedo eliminar el borde punteado de los elementos <area> en Firefox?"> ¿Cómo puedo eliminar el borde punteado de los elementos <area> en Firefox? </a> </li> <li class="side_article_list_item"> 5. <a href="http://es.uwenku.com/question/p-ricyvlig-h.html" target="_blank" title="serialización de Eigen's Matrix usando boost.serialization"> serialización de Eigen's Matrix usando boost.serialization </a> </li> <li class="side_article_list_item"> 6. <a href="http://es.uwenku.com/question/p-xkdntysv-g.html" target="_blank" title="¿Por qué grep recursivo muestra los errores 'No such file or directory'?"> ¿Por qué grep recursivo muestra los errores 'No such file or directory'? </a> </li> <li class="side_article_list_item"> 7. <a href="http://es.uwenku.com/question/p-vryjousx-bp.html" target="_blank" title="Configuración de Android enfoque manual tocando"> Configuración de Android enfoque manual tocando </a> </li> <li class="side_article_list_item"> 8. <a href="http://es.uwenku.com/question/p-uilwehoq-bw.html" target="_blank" title="Entity Framework: compruebe todas las relaciones de una entidad para el uso de la clave externa"> Entity Framework: compruebe todas las relaciones de una entidad para el uso de la clave externa </a> </li> <li class="side_article_list_item"> 9. <a href="http://es.uwenku.com/question/p-bjjeycik-bu.html" target="_blank" title="hashCode y es igual para Collections.unmodifiableCollection()"> hashCode y es igual para Collections.unmodifiableCollection() </a> </li> <li class="side_article_list_item"> 10. <a href="http://es.uwenku.com/question/p-hfsrjkug-bh.html" target="_blank" title="cómo mysql_fetch_array en tablas combinadas, pero las columnas tienen el mismo nombre"> cómo mysql_fetch_array en tablas combinadas, pero las columnas tienen el mismo nombre </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> Cuestiones relacionadas</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://es.uwenku.com/question/p-gdmpchrj-b.html" target="_blank" title="¿Por qué esta función javascript se ejecuta sin ser llamada?"> ¿Por qué esta función javascript se ejecuta sin ser llamada? </a> </li> <li class="side_article_list_item"> 2. <a href="http://es.uwenku.com/question/p-ugcowzvf-bm.html" target="_blank" title="¿En qué caso puede ser exento de CSRF ser peligroso?"> ¿En qué caso puede ser exento de CSRF ser peligroso? </a> </li> <li class="side_article_list_item"> 3. <a href="http://es.uwenku.com/question/p-ediqvidc-bc.html" target="_blank" title="Seriado de clase definido por el usuario, C++ y msgpack"> Seriado de clase definido por el usuario, C++ y msgpack </a> </li> <li class="side_article_list_item"> 4. <a href="http://es.uwenku.com/question/p-ylamphdy-be.html" target="_blank" title="Definición de Guid definido por el usuario"> Definición de Guid definido por el usuario </a> </li> <li class="side_article_list_item"> 5. <a href="http://es.uwenku.com/question/p-gporfsim-e.html" target="_blank" title="¿Qué tan peligroso es e.preventDefault() ;, y puede ser reemplazado por el seguimiento de teclas/mousedown?"> ¿Qué tan peligroso es e.preventDefault() ;, y puede ser reemplazado por el seguimiento de teclas/mousedown? </a> </li> <li class="side_article_list_item"> 6. <a href="http://es.uwenku.com/question/p-rzcmygnv-g.html" target="_blank" title="¿Cómo obtener información sobre un tipo definido por el usuario?"> ¿Cómo obtener información sobre un tipo definido por el usuario? </a> </li> <li class="side_article_list_item"> 7. <a href="http://es.uwenku.com/question/p-wmdsmdkd-bm.html" target="_blank" title="¿Cómo crear un vector de tamaño definido por el usuario pero sin valores predefinidos?"> ¿Cómo crear un vector de tamaño definido por el usuario pero sin valores predefinidos? </a> </li> <li class="side_article_list_item"> 8. <a href="http://es.uwenku.com/question/p-ghuxxcyi-s.html" target="_blank" title="¿Puede falsificar Array.isArray() con un objeto definido por el usuario?"> ¿Puede falsificar Array.isArray() con un objeto definido por el usuario? </a> </li> <li class="side_article_list_item"> 9. <a href="http://es.uwenku.com/question/p-dmzqxley-k.html" target="_blank" title="El método __mul__ definido por el usuario no es conmutativo"> El método __mul__ definido por el usuario no es conmutativo </a> </li> <li class="side_article_list_item"> 10. <a href="http://es.uwenku.com/question/p-kaqpcpiw-x.html" target="_blank" title="ASP.NET potencialmente peligroso Solicitar Javascript Regex"> ASP.NET potencialmente peligroso Solicitar Javascript Regex </a> </li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://es.uwenku.com/contact">Contactanos</a></li> <li>© 2020 ES.UWENKU.COM</li> <li><a target="_blank" href="https://beian.miit.gov.cn/">沪ICP备13005482号-4</a></li> <li><script type="text/javascript" src="https://v1.cnzz.com/z_stat.php?id=1280101193&web_id=1280101193"></script></li> <li><a href="http://www.uwenku.com/" target="_blank" title="优文库">简体中文</a></li> <li><a href="http://hk.uwenku.com/" target="_blank" title="優文庫">繁體中文</a></li> <li><a href="http://ru.uwenku.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.uwenku.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.uwenku.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.uwenku.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.uwenku.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.uwenku.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.uwenku.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.uwenku.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.uwenku.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.uwenku.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.uwenku.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?f78a970f17b19a79fc477a3378096f29"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>

¿Cómo permite jsFiddle y ejecuta JavaScript definido por el usuario sin ser peligroso?

Respuesta