Песочница для внешнего JS/HTML
есть такое: http://en.wikipedia.org/wiki/Caja_project
Да, видел уже. Но мне, похоже, не подходит. У меня нет серверной части. Приложение пишу на чистом HTML+JS. А там Java нужна...
Не очень понятно, откуда берутся исходные HTML книги. И что подразумевается под "парсю, изменяю"? Если ты что-то парсишь, то предполагается, что оно имеет более-менее известный формат. Тогда что мешает выпилить все ненужное в процессе парсинга?
дык он каким-нибудь eval'ом парсит.
Оставить комментарий
agaaaa
Я пишу читалку на HTML+JS с синхронизацией через Google Drive. Страницы книг представляют из себя HTML, который я парсю, изменяю и загружаю в некоторый div через innerHTML. Проблема в том, что при этом подходе пользователю могут подсунуть специально сделанную книгу, в которой будет JavaScript код, который сможет сделать что угодно в контексте моей читалки, начиная от изменения цвета на вырвиглазный и заканчивая удалением всех файлов пользователя из его Google Drive. Читалка не привязана к домену и может быть запущена на локальной машине.Есть ли в связке HTML+JS средства, позволяющие обезопасить пользователя от указанных напастей?
P.S. Пока хотелось бы обойтись без jQuery и других фреймворков.