我想让用户在我的网站上运行他们自己的脚本,这些脚本不会与 DOM 交互,主要用于计算。我打算使用服务人员作为清理用户输入 JS 的手段。脚本存储在 Db 中,然后加载,然后在服务工作者上下文中执行。
任何人都可以看到这种方法的任何安全问题(我不关心 while (1 === 1) 等 - 只有会伤害服务器/其他用户的东西)。脚本评估的结果不会直接提供给用户,而是用作其他 Js 脚本的输入。任何人都可以使用我描述的设置生成快速攻击示例/想法吗?
我想让用户在我的网站上运行他们自己的脚本,这些脚本不会与 DOM 交互,主要用于计算。我打算使用服务人员作为清理用户输入 JS 的手段。脚本存储在 Db 中,然后加载,然后在服务工作者上下文中执行。
任何人都可以看到这种方法的任何安全问题(我不关心 while (1 === 1) 等 - 只有会伤害服务器/其他用户的东西)。脚本评估的结果不会直接提供给用户,而是用作其他 Js 脚本的输入。任何人都可以使用我描述的设置生成快速攻击示例/想法吗?