看网站的源码发现了运行代码原来是这么实现的。。受教了。。
function run_Code(code)
{
var pop = window.open('', "_blank", '');
pop.document.open('text/html', 'replace');
pop.opener = null // 防止代码对论谈页面修改
pop.document.write(code);
pop.document.close();
}
上面注释的地方应该‘深思’下,如果在页面运行代码处,获得opener,就可以入侵。。