储蓄及；嵌入用户'；s自己的javascript代码

我正在主持一个小型服务，人们可以在那里创建在线日历。我的想法是允许用户将自己的javascript/html/css保存并嵌入到日历中

我有点担心安全问题-是否有方法使用XSS等，以便用户javascript代码可以影响除了嵌入代码的日历之外的其他日历

从客户的角度来看，应该允许页面上的JS更改页面的所有方面

---

我想最安全的方法是只允许自定义HTML/CSS，但使用JS修改日历的布局和功能将是一个很好的功能。

这可能非常危险，原因与

评估是邪恶的

您基本上是在给用户一个运行恶意脚本的机会

---

示例：您正在使用AJAX更新服务器上的某些内容。我来了，打开我信任的Firebug，查看AJAX请求，并决定破坏一点混乱，因为我就是这么做的。我只是重写了AJAX调用，将日历的id更改为随机id，然后砰的一声，这就是我这一天的肮脏行为。

eval如果允许用户运行javascript也不是问题。事实上，他们不需要它。是的，但是我只是暗示这可能是危险的，因为同样的原因，eval是邪恶的我主要关心的不是用户对他/她自己的日历做了什么，而是他们如何影响我域中的其他日历/页面。任何最坏情况的例子？首先，它们可以嗅探您的ajax请求，然后用危险的数据模拟它们。如果你给我这个机会，我可以找到很多有趣的方法让你把头发拔出来（事实上，如果你允许的话，你会用勺子喂我这个机会）是的。我想我会完全禁用它，或者强制我们事先验证所有嵌入的js。谢谢