開発者に Javascript でサイト用のカスタム アプリを作成してもらいたいのですが、それをサンドボックス化して、ユーザーをリダイレクトしたり、本文の表示を none に設定したりするなどのいたずらをできないようにしたいと考えています。彼らが必要とする機能はそこに存在するので、サンドボックスを作成することは次の問題になると考えていました:
with(Namespace) {
//App code goes here where they can only access Namespace.*
}
これを回避するのはどのように簡単で、他にどのような方法がありますか? 提出されたすべてのアプリをモデレートする必要はありません。
現時点でコードをサンドボックス化するためのオプションは次のとおりです。
どちらも、グローバル オブジェクトと DOM へのアクセスが制限された安全な環境を作成できます。
これらのプロジェクトの主な目的は、ウィジェットやサード パーティの Web コンテンツを安全に埋め込むことができるようにすることです。
最初に頭に浮かぶのはeval. これを使用して、ラッパー サンドボックスの外部でカスタム コードを実行できます。コードをラップしようとして、熱心な開発者を止めるのは非常に困難です。
eval の使用へのリンク。
サンドボックスを強制するには、実行前にコードを検査し、正当でないコードをキャプチャし、見つかった場合は何らかの方法で実行を阻止する必要があります。非常に退屈で、長い間エラーが発生しやすい.
Facebookは少なくとも初期のプラットフォームでこれを行いましたが、開発者としての私は間違いなくそれを楽しんでいませんでした. 彼らは使用できるネイティブ メソッドを制限し、いくつかの限定的なラッパーを提供しました。