google-caja

2熱

1答えて

私はカハについて学んだ、と私は「この」-stealingの概念について混乱しています：カハは「これを呼ばれているアドレス別のセキュリティ上の脆弱性" スティール - オブジェクトのクライアントがオブジェクトのにメソッドを追加できる場合、" this "、前述の保護された" this " ルールは適用されません。それから、彼らは次のコンストラクタを示しています。 "X_" を含む隠し漏れがあり

5熱

1答えて

cajaを使用してJavascriptをサニタイズしますか？

私は自分のアプリケーションのユーザーが、私が提供するプラグインAPIオブジェクト以外のものへのアクセスを許可せずに、その機能を拡張するプラグインをJavascriptで書くことを許可したいと思います。例えば、プラグインは、次のようになります。 plugin.hookSomeUserAction(function() { plugin.doSomethingWickedAwesome();

4熱

2答えて

＃（ハッシュ）で始まるリンクを許可するのは安全ですか？

私はWebアプリケーションを構築しており、ユーザーはHTMLコンテンツを動的に作成できます。 #で始まるリンクを作成できるようにすることは安全ですか（例：w.r.t. XSS攻撃）ですか？私はなぜそうでないのかわかりません。おそらく私は単に編集的であるだけです。（私のJavascriptコードが# URLに対して、特に何もしません。）とにかく私が尋ねる理由の一つは、私がHTMLをサニタイズす

0熱

1答えて

カハとjQuery

は、私は、サードパーティJavaScriptをサニタイズし、ホストにそれを実行するためにcajolerを使用して、とjQueryに関する仮定：サードパーティのアプリケーションは、プロセスにをcajoledされるjQueryのを、含むことができ、または、ホストサイトは、サードパーティのにJQuery機能を公開していますか？

0熱

1答えて

Google Caja HTMLメールの画像とリンクを許可する

私はcajaを使用してウェブページにhtmlメールを表示しようとしています。 caja.load(document.getElementById('messagebox'), undefined, function(frame) { frame.code(contentUrl, 'text/html').run(); }); レンダリングすると、すべてのアンカーhrefタグとイメー

5熱

2答えて

Googleの可視化は、私がappscriptとともにappscript htmlserviceを使用したいappscript HTMLサービス

で作業していない、 HTMLサービスが動作しているようですが、可視化は動作しません。ここに参考用のコードがあります。 Code.GS： // Script-as-app template. function doGet() { return HtmlService.createHtmlOutputFromFile('html_visualization'); } html_visual

1熱

1答えて

このCaja（安全なJavaScript）コードについての明確化？

私はカハを勉強し、それがどのように機能するかを理解するいくつかの問題を抱えています：図10：：。権利増幅を function Brand() { var flag = false, payload = null; return caja.freeze({ seal: function(payloadToSeal) { function box() {

1熱

1答えて

サンプルCaja（JavaScriptのセキュアなサブセット）ソースコードを実行するにはどうすればよいですか？

CajaはGoogleが開発したsecure version of JavaScriptです。つまり、デモを表示するためにテストするのに問題がありますか？

1熱

1答えて

防止（おそらくグーグルCAJAを使用して）クッキーを読み込むコード

クイック追記：これはポストIs It Possible to Sandbox JavaScript Running In the Browser?のない「が重複する可能性」である、それはクッキーについて何がなかった - と私は依頼する必要がありますクッキーについて私は答えを読んだ。こんにちは！私は（登録ユーザ）がのHTMLページを作成して簡単にアクセスして編集できるウェブページを持っています。ア