本地html+js文件(没有本地服务器(有什么危害吗?
TL;DR
我正在为许多公司维护一个科学的可视化工具。
目前,它基本上是一个没有宏的Excel工作表。因此,做一些很酷的事情的可能性是有限的。因此,我正在研究如何进行更真实的编程。
问题是,这些公司在安全方面都非常严密。因此,出于安全考虑,excel中的宏大多被禁止。
我正在考虑将其重写为本地html文件,并在不打开本地服务器的情况下用js进行必要的计算。然后我应该能够开发所有需要的功能,同时保持应用程序的安全。
或者至少我这么认为
此应用程序将无法访问文件系统或将信息发送给第三方,对吗
是否存在我可能遗漏的其他安全问题
简短的回答是"是";,长答案是";你可能很好";。
从理论上讲,浏览器JavaScript引擎应该严格限制对任何已执行脚本的访问。使用默认配置,脚本不应该损害执行它的计算机。
如果你仔细想想,很容易让人加载你的网站。如果这足以损坏机器,我们就会有大麻烦。
现在在实践中,JavaScript引擎中存在漏洞,并且被滥用。然而,这不是你应该担心的事情,也不是企业会考虑的事情。
编辑:JavaScript可以向第三方发送信息。它无法读取本地文件系统,也无法获得比任何其他网站都多的信息。如果你正在加载一些数据,理论上你可以将这些数据发送到其他地方。