Пользовательский JS-скриптинг в веб-приложении?

Question

russlobachev @russlobachev

Пользовательский JS-скриптинг в веб-приложении?

Цель. Я даю пользователю возможность кастомизировать вывод данных в интерфейсе. Но не через экран настроек, а путем написания скрипта. Для этого я предоставляю ему часть своей DOM, отвечающей за вывод. Например, передаю ее как некий корневой объект app в движок скриптования, и через этот app как глобальную переменную пользователь скриптит вывод данных.

По идее, это можно сделать через eval. Но как закрыть пользователю доступ к внешним объектам (window, alert и т.д.) и разрешить работать только в рамках моей DOM?

Вопрос задан более трёх лет назад
3334 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 3

1 комментарий

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JavaScript

+1 ещё

Простой
Как написать текст на окружности и посчитать точки?
- 1 подписчик
- 7 часов назад
- 45 просмотров
0

ответов
JavaScript

Средний
Как остановить весь скрипт js при выполнении условия tampermonkey?
- 1 подписчик
- 13 часов назад
- 74 просмотра
2

ответа
JavaScript

Средний
.stopPropagation() на самом деле не останавливает распространение события?
- 1 подписчик
- 18 часов назад
- 96 просмотров
1

ответ
JavaScript

Простой
Нужно ли проверять импорт модуля js на повторную загрузку?
- 1 подписчик
- 18 часов назад
- 50 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему у меня не может найти URL_TO_BOT?
- 1 подписчик
- вчера
- 47 просмотров
0

ответов
JavaScript

+3 ещё

Простой
Как отключить swiper-bundle.min.css?
- 1 подписчик
- вчера
- 58 просмотров
2

ответа
JavaScript

Простой
Почему не правильно срабатывает условие в цикле?
- 1 подписчик
- вчера
- 94 просмотра
1

ответ
JavaScript

+2 ещё

Средний
Расскажите про паттерны работы с GraphQL?
- 7 подписчиков
- вчера
- 1268 просмотров
1

ответ
JavaScript

Средний
Как сделать swiper autoplay с несколькими видео?
- 1 подписчик
- 24 дек.
- 61 просмотр
0

ответов
JavaScript

+1 ещё

Простой
Почему неправильное время в JavaScript?
- 1 подписчик
- 24 дек.
- 125 просмотров
1

ответ
Показать ещё Загружается…

JavaScript FullStack разработчик

Rocket • Смоленск

от 80 000 до 130 000 ₽

Бэкэнд-разработчик JavaScript

Wanted. • Москва

от 250 000 до 400 000 ₽

JavaScript Fullstack

OnClass

от 2 000 до 7 000 $

Сделать рерайт текста

27 дек. 2024, в 04:47

1500 руб./за проект

Сделать запись в файл на ubuntu

27 дек. 2024, в 03:33

1500 руб./за проект

Сделать анимацию и отрисовать иллюстрации

27 дек. 2024, в 02:41

50000 руб./за проект

Answer 1 · 2013-08-19 15:59:13

Константин Китманов @k12th

console.log(`You're pulling my leg, right?`);

Caja не смотрели?

Ответ написан более трёх лет назад

1 комментарий

Answer 2 · 2013-08-19 14:29:54

Илья Севостьянов @RUVATA

Разработчик, гик, меломан, разгильдяй

Если через eval, средствами JavaScript никак.

Ответ написан более трёх лет назад

Комментировать

Answer 3 · 2013-08-19 14:40:21

Никак. Пользователь может внедрить скрипт (тег Script src), в котором будет доступ к window в Хроме, где специально постарались усложнить доступ контентных скриптов, а в остальных браузерах получить window никогда не было проблемой. (Правда, Вы не уточнили, КЕМ будет написан скрипт. Но, наверное, подразумевается, что пользователем.)

Если же Вы думаете получать данные и исполнять их в виде скрипта через eval(), то, если не считать, что это — плохая идея, такой скрипт нужно запускать в другом домене в фрейме, тогда Вы имеете шанс не получить взломанных пользователей и систему.

Пользовательский JS-скриптинг в веб-приложении?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт