jsFiddleは危険なしにユーザー定義のJavaScriptをどのように許可して実行しますか？

私はJSライブラリに取り組んできました。たとえば、ユーザーが独自のコールバックを定義してコマンドを実行できるようにするGithubのデモページをセットアップしたいと考えています。jsFiddleは危険なしにユーザー定義のJavaScriptをどのように許可して実行しますか？

私は「eval()は悪である」と私はスクリプトのeval()は、XSSやその他のセキュリティ上の問題につながる可能性がどのようにブラインド見ることができます知っています。私はいくつかの代替スキームを調理しようとしています。

私は本当にjsFiddleのインタラクティブ機能を楽しんでいます。私はそのソースを見てきましたが、jsFiddleが危険を伴わずにユーザ定義のJavaScriptをどのように許可して実行するかについて、誰かがここでレイアウトできることを願っていました。サードパーティ製のエコーサーバーを必要としない限り、私はこのアプローチをエミュレートすることができます。

出典

2011-11-04 buley

jsFiddleは別のドメインのユーザースクリプトhttp://fiddle.jshell.net（try it and see）を実行します。
したがって、親フレームと対話できず、Cookieを盗むことはできません。

実際には、静的ページをJavascriptのクエリ文字列から読み取る別のドメインに配置することで、別のサーバーを使用せずにこれを実行できます。
ページタイトルを使用して返信することができます（敵もそうすることができます）。

出典

2011-11-04 01:38:03 SLaks

別のドメインで実行するとはどういう意味ですか？JavaScriptを実行するページを含むiFrameを読み込みますか？ – buley

@editor：そうです。 ''のページは、何も攻撃されない（クッキーなし）ドメインがなければなりません。 – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/34397/">SLaks</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">@SLaks - なぜ 'alert（document.cookie）;'はjsFiddleで動作しますか？ – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1038284119" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div class="relative-box"> <div class="relative">関連する問題</div> <ul class="relative_list"> <li> 1. <a href="http://ja.uwenku.com/question/p-devwltvz-hc.html" target="_blank" title="Androidスタジオ危険な許可"> Androidスタジオ危険な許可 </a> </li> <li> 2. <a href="http://ja.uwenku.com/question/p-dtnplrqp-hm.html" target="_blank" title="android.permission.WRITE_SETTINGSどのような種類の許可ですか？危険な？"> android.permission.WRITE_SETTINGSどのような種類の許可ですか？危険な？ </a> </li> <li> 3. <a href="http://ja.uwenku.com/question/p-byifieqk-bn.html" target="_blank" title="XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか？"> XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか？ </a> </li> <li> 4. <a href="http://ja.uwenku.com/question/p-sxfyxzss-ed.html" target="_blank" title="AndroidのMテストREAD_PHONE_STATE（危険なアクセス許可）の許可"> AndroidのMテストREAD_PHONE_STATE（危険なアクセス許可）の許可 </a> </li> <li> 5. <a href="http://ja.uwenku.com/question/p-khhzxzty-nt.html" target="_blank" title="現在の危険なプロセスの変数を使用して、危険なホストからコマンドを実行する"> 現在の危険なプロセスの変数を使用して、危険なホストからコマンドを実行する </a> </li> <li> 6. <a href="http://ja.uwenku.com/question/p-dwgumffr-dk.html" target="_blank" title="サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか？"> サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか？ </a> </li> <li> 7. <a href="http://ja.uwenku.com/question/p-pyvlajcf-ot.html" target="_blank" title="Android Mはマニフェストに記載されているすべての危険なアクセス許可を取得します"> Android Mはマニフェストに記載されているすべての危険なアクセス許可を取得します </a> </li> <li> 8. <a href="http://ja.uwenku.com/question/p-vhwgmsge-me.html" target="_blank" title="プロメテウスのハイカーディナリティラベルはどのように危険ですか？"> プロメテウスのハイカーディナリティラベルはどのように危険ですか？ </a> </li> <li> 9. <a href="http://ja.uwenku.com/question/p-famffsgc-cx.html" target="_blank" title="セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6"> セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6 </a> </li> <li> 10. <a href="http://ja.uwenku.com/question/p-fkaqriky-dk.html" target="_blank" title="危険なテキストを評価するのは危険ですか？"> 危険なテキストを評価するのは危険ですか？ </a> </li> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block; text-align:center;" data-ad-layout="in-article" data-ad-format="fluid" data-ad-client="ca-pub-6208739752673518" data-ad-slot="4606349252"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <li> 11. <a href="http://ja.uwenku.com/question/p-fjpmcebh-pc.html" target="_blank" title="危険なアクセス許可のダイアログボックスが表示されない"> 危険なアクセス許可のダイアログボックスが表示されない </a> </li> <li> 12. <a href="http://ja.uwenku.com/question/p-zirieqxw-de.html" target="_blank" title="Androidの許可：危険なものと正常なものをどのようにして知ることができますか？"> Androidの許可：危険なものと正常なものをどのようにして知ることができますか？ </a> </li> <li> 13. <a href="http://ja.uwenku.com/question/p-xtfmamwu-bp.html" target="_blank" title="DNSネームサーバーのダウンタイムにはどのような危険がありますか？"> DNSネームサーバーのダウンタイムにはどのような危険がありますか？ </a> </li> <li> 14. <a href="http://ja.uwenku.com/question/p-milshgmg-pv.html" target="_blank" title="Tkinterで危険なスタイルのゲームを構築しようとしています"> Tkinterで危険なスタイルのゲームを構築しようとしています </a> </li> <li> 15. <a href="http://ja.uwenku.com/question/p-pfcvhaoi-ov.html" target="_blank" title="php cs fixer、危険なルールを実行するには？"> php cs fixer、危険なルールを実行するには？ </a> </li> <li> 16. <a href="http://ja.uwenku.com/question/p-xjvexnlk-bb.html" target="_blank" title="JavaScriptのオールマンスタイルの危険な意味"> JavaScriptのオールマンスタイルの危険な意味 </a> </li> <li> 17. <a href="http://ja.uwenku.com/question/p-dkrvllzc-dp.html" target="_blank" title="CSRF免除はどのような場合に危険ですか？"> CSRF免除はどのような場合に危険ですか？ </a> </li> <li> 18. <a href="http://ja.uwenku.com/question/p-yejgmund-bs.html" target="_blank" title="ヘルプは、危険な"> ヘルプは、危険な </a> </li> <li> 19. <a href="http://ja.uwenku.com/question/p-fdwkxdkb-qb.html" target="_blank" title="Linuxカーネルでは、free_irqシステムを危険にさらしますか？"> Linuxカーネルでは、free_irqシステムを危険にさらしますか？ </a> </li> <li> 20. <a href="http://ja.uwenku.com/question/p-fqihmuvf-pq.html" target="_blank" title="「のHostnameVerifierの危険な実装」"> 「のHostnameVerifierの危険な実装」 </a> </li> <li> 21. <a href="http://ja.uwenku.com/question/p-ckswfnhb-hw.html" target="_blank" title="Androidの実行時のアクセス許可 - ユーザーがアクセス許可を許可し、それをonRequestPermissionsResultで受信しない"> Androidの実行時のアクセス許可 - ユーザーがアクセス許可を許可し、それをonRequestPermissionsResultで受信しない </a> </li> <li> 22. <a href="http://ja.uwenku.com/question/p-duprgngp-cy.html" target="_blank" title="危険な複数の言語を同時に学習していますか？"> 危険な複数の言語を同時に学習していますか？ </a> </li> <li> 23. <a href="http://ja.uwenku.com/question/p-pgrdekbf-gv.html" target="_blank" title="Androidの許可：ユーザーが「許可」を押した後にタスクを実行"> Androidの許可：ユーザーが「許可」を押した後にタスクを実行 </a> </li> <li> 24. <a href="http://ja.uwenku.com/question/p-kpppeehp-ea.html" target="_blank" title="危険なパスエラー"> 危険なパスエラー </a> </li> <li> 25. <a href="http://ja.uwenku.com/question/p-ncbgmkrk-pb.html" target="_blank" title="Android Marshmallow - プラットフォーム署名アプリケーションに危険なアクセス許可を与える方法"> Android Marshmallow - プラットフォーム署名アプリケーションに危険なアクセス許可を与える方法 </a> </li> <li> 26. <a href="http://ja.uwenku.com/question/p-okrvgidw-nn.html" target="_blank" title="どのように実行し、JavaScriptの"> どのように実行し、JavaScriptの </a> </li> <li> 27. <a href="http://ja.uwenku.com/question/p-zpqaolji-gn.html" target="_blank" title="Sentoraでcronjobを設定し、ユーザー定義の時刻に実行するようにしました。"> Sentoraでcronjobを設定し、ユーザー定義の時刻に実行するようにしました。 </a> </li> <li> 28. <a href="http://ja.uwenku.com/question/p-ozgvlibl-a.html" target="_blank" title="WIFはどのように[許可]と対話しますか？"> WIFはどのように[許可]と対話しますか？ </a> </li> <li> 29. <a href="http://ja.uwenku.com/question/p-yncqfwvs-bv.html" target="_blank" title="Eq typeclassはユーザー定義型に対してどのように実装されていますか？"> Eq typeclassはユーザー定義型に対してどのように実装されていますか？ </a> </li> <li> 30. <a href="http://ja.uwenku.com/question/p-zcrtuqii-hq.html" target="_blank" title="Javascript Setでマップをどのように実行しますか？"> Javascript Setでマップをどのように実行しますか？ </a> </li> </ul> </div> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1575177025"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img.uwenku.com/uwenku/script/side.js?t=1644592048742"></script> <script type="text/javascript" src="http://img.uwenku.com/uwenku/plugin/highlight/highlight.pack.js"></script> <link href="http://img.uwenku.com/uwenku/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="5415218910" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> 最新の質問 </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://ja.uwenku.com/question/p-ujfpcmfh-oz.html" target="_blank" title="5つのソースから3つのdivへのJavascriptのランダムコンテンツ"> 5つのソースから3つのdivへのJavascriptのランダムコンテンツ </a> </li> <li class="side_article_list_item"> 2. <a href="http://ja.uwenku.com/question/p-yjluhclz-pk.html" target="_blank" title="カーネルモジュール経由でGPIO2とGPIO3にアクセスするとBeaglebone Blackでセグメンテーションフォルトが発生するのはなぜですか？"> カーネルモジュール経由でGPIO2とGPIO3にアクセスするとBeaglebone Blackでセグメンテーションフォルトが発生するのはなぜですか？ </a> </li> <li class="side_article_list_item"> 3. <a href="http://ja.uwenku.com/question/p-keeltgpf-pg.html" target="_blank" title="イベントバインディングと値の受け渡し方法"> イベントバインディングと値の受け渡し方法 </a> </li> <li class="side_article_list_item"> 4. <a href="http://ja.uwenku.com/question/p-miourign-pr.html" target="_blank" title="Shopify：キャリアを選択する際にiframeを開きますか？"> Shopify：キャリアを選択する際にiframeを開きますか？ </a> </li> <li class="side_article_list_item"> 5. <a href="http://ja.uwenku.com/question/p-wqdfxlfm-nm.html" target="_blank" title="文字列と整数を辞書に抽出する"> 文字列と整数を辞書に抽出する </a> </li> <li class="side_article_list_item"> 6. <a href="http://ja.uwenku.com/question/p-fifodpob-np.html" target="_blank" title="関数を呼び出して1行結果を取得すると、行数が表示されます。なぜですか？ここで"> 関数を呼び出して1行結果を取得すると、行数が表示されます。なぜですか？ここで </a> </li> <li class="side_article_list_item"> 7. <a href="http://ja.uwenku.com/question/p-pfixozoz-oa.html" target="_blank" title="__VA_OPT__サポートを移植可能に検出しますか？"> __VA_OPT__サポートを移植可能に検出しますか？ </a> </li> <li class="side_article_list_item"> 8. <a href="http://ja.uwenku.com/question/p-vkjlytyb-nx.html" target="_blank" title="Laravel-5.5イベントリスナーが機能しない"> Laravel-5.5イベントリスナーが機能しない </a> </li> <li class="side_article_list_item"> 9. <a href="http://ja.uwenku.com/question/p-mciezrco-nv.html" target="_blank" title="Laravel暗号化データチェック"> Laravel暗号化データチェック </a> </li> <li class="side_article_list_item"> 10. <a href="http://ja.uwenku.com/question/p-aggamzcp-nu.html" target="_blank" title="同時に証人と型クラスを取得する"> 同時に証人と型クラスを取得する </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> 関連する問題</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://ja.uwenku.com/question/p-devwltvz-hc.html" target="_blank" title="Androidスタジオ危険な許可"> Androidスタジオ危険な許可 </a> </li> <li class="side_article_list_item"> 2. <a href="http://ja.uwenku.com/question/p-dtnplrqp-hm.html" target="_blank" title="android.permission.WRITE_SETTINGSどのような種類の許可ですか？危険な？"> android.permission.WRITE_SETTINGSどのような種類の許可ですか？危険な？ </a> </li> <li class="side_article_list_item"> 3. <a href="http://ja.uwenku.com/question/p-byifieqk-bn.html" target="_blank" title="XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか？"> XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか？ </a> </li> <li class="side_article_list_item"> 4. <a href="http://ja.uwenku.com/question/p-sxfyxzss-ed.html" target="_blank" title="AndroidのMテストREAD_PHONE_STATE（危険なアクセス許可）の許可"> AndroidのMテストREAD_PHONE_STATE（危険なアクセス許可）の許可 </a> </li> <li class="side_article_list_item"> 5. <a href="http://ja.uwenku.com/question/p-khhzxzty-nt.html" target="_blank" title="現在の危険なプロセスの変数を使用して、危険なホストからコマンドを実行する"> 現在の危険なプロセスの変数を使用して、危険なホストからコマンドを実行する </a> </li> <li class="side_article_list_item"> 6. <a href="http://ja.uwenku.com/question/p-dwgumffr-dk.html" target="_blank" title="サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか？"> サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか？ </a> </li> <li class="side_article_list_item"> 7. <a href="http://ja.uwenku.com/question/p-pyvlajcf-ot.html" target="_blank" title="Android Mはマニフェストに記載されているすべての危険なアクセス許可を取得します"> Android Mはマニフェストに記載されているすべての危険なアクセス許可を取得します </a> </li> <li class="side_article_list_item"> 8. <a href="http://ja.uwenku.com/question/p-vhwgmsge-me.html" target="_blank" title="プロメテウスのハイカーディナリティラベルはどのように危険ですか？"> プロメテウスのハイカーディナリティラベルはどのように危険ですか？ </a> </li> <li class="side_article_list_item"> 9. <a href="http://ja.uwenku.com/question/p-famffsgc-cx.html" target="_blank" title="セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6"> セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6 </a> </li> <li class="side_article_list_item"> 10. <a href="http://ja.uwenku.com/question/p-fkaqriky-dk.html" target="_blank" title="危険なテキストを評価するのは危険ですか？"> 危険なテキストを評価するのは危険ですか？ </a> </li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://ja.uwenku.com/contact">お問い合わせ</a></li> <li>© 2020 JA.UWENKU.COM</li> <li><a target="_blank" href="https://beian.miit.gov.cn/">沪ICP备13005482号-4</a></li> <li><script type="text/javascript" src="https://v1.cnzz.com/z_stat.php?id=1280101193&web_id=1280101193"></script></li> <li><a href="http://www.uwenku.com/" target="_blank" title="优文库">简体中文</a></li> <li><a href="http://hk.uwenku.com/" target="_blank" title="優文庫">繁體中文</a></li> <li><a href="http://ru.uwenku.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.uwenku.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.uwenku.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.uwenku.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.uwenku.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.uwenku.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.uwenku.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.uwenku.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.uwenku.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.uwenku.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.uwenku.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?f78a970f17b19a79fc477a3378096f29"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>

jsFiddleは危険なしにユーザー定義のJavaScriptをどのように許可して実行しますか？

答えて