我正在使用 QJSEngine 让用户脚本自定义数据在我的应用程序中进行转换。我了解 QJSEngine 没有沙盒化,并且运行在与我的应用程序相同的特权级别。这是否有我需要担心的安全隐患?我没有向 QJSEngine 公开任何应用程序对象。
我尝试了几件事:
打开网址:
window.open();
读取文件:
new XMLHttpRequest();
访问注册表:
new ActiveXObject("WScript.Shell");
这些都不起作用。那么用户可以从 QJSEngine 内部做些什么讨厌的事情呢?如果是这样,是什么?