我正在尝试使用Douglas Crockford的ADsafe库。 我认为它应该限制可以使用的JavaScript,但它似乎是让危险的电话通过,如eval()
。无法获得简单的ADsafe小部件工作
这里的沙箱不限制任何一个例子:
<html>
<head>
<title>ADsafe Widget Template</title>
</head>
<body>
<script src="adsafe.js"></script>
<div id="WIDGET_">
<script>
ADSAFE.go("WIDGET_", function (dom, lib) {
"use strict";
//
// ADsafe is allowing these to execute!!
//
window.alert("window.alert is working :(");
eval('window.alert("hello from eval")');
window.location = "http://www.google.com";
});
</script>
</div>
</body>
</html>
有谁知道AdSafe中沙应该如何工作的?
感谢您的关注。不幸的是,ADsafe确实希望'脚本'位于'div'内部。如果它在'div'中找不到'script',则会引发错误。 – slattery