0
私は、htmlと "Run it!"を入力するためのテキストボックスを提供するいくつかのcss/html/js掲示板に行ってきました。ボタンを押して、新しいポップアップウィンドウでhtmlを実行します。ポップアップウィンドウのCookieセキュリティ
私はjQueryのでは容易である、また1を作りたい:
function try_show_result() {
var code = $("#try-input").val();
if (code !== "") {
var newwin = window.open('','','');
newwin.opener = null; // 防æ¢ä»£ç 修改主页
newwin.document.write(code);
newwin.document.close();
}
}
しかし、その後、私はセキュリティ上の問題が見つかりました:ウィンドウポップアップするには、任意のJavaScriptを実行しているのすべての能力を持っています。そのため、別の認証済みユーザーがページ上の特定のコードを実行すると、Cookieを盗み出すか、指定されたユーザーのみのajax投稿のみにアクセスすることができます。
これを避ける簡単な方法はありますか?
更新:ウィンドウを開く前にnewwin.document.cookie = ""を追加しましたが、これが良いかどうかはわかりません。
大きな赤いバナーを置いて、他人の未知のスクリプトを実行しないように警告します。 – Realfun