Freecodecamp: コードロック/ロック解除ボタンは初心者にとって紛らわしいUXです

@tchaffeeレポートに感謝し、 https：//github.com/freeCodeCamp/freeCodeCamp/issues/16250を支持してこれを閉じ

@raisedadead Issue＃16250は、別の問題について説明しています。 私の懸念は、初心者がコードを安全に実行できるかどうかをどうやって知るのかということです。 初心者がその決定を下すための情報を持っている方法がないため、ユーザーエクスペリエンスは悪いです。

わかりました...これは、搭乗のためにステップチャレンジが必要になることを意味します。

@QuincyLarson何か考えていることはありますか？

または、この要件に対して最初にどのように提供したかを再検討しますか？ ローカルストレージからコードを実行するリスクはありますか？ URIにコードがない場合でも警告が表示されますが、これは保存した作業であるため、不要な警告のようです。

このユースケースの背景はわかりませんが、URIのコードは共有用だと思いますか？ そして、それが本当のセキュリティリスクだと思いますか？

初心者のプログラマーにコードを安全に実行できるかどうかを判断するのではなく、コードを共有するための別のソリューションを検討できるかもしれません。 最初に、既存のソリューションが提供するものと、現在のソリューションにつながる要件を理解することは価値があると思います。 あるいは、URIを介してコードを共有することは、いたるところで悪い考えである場合もあります。

または、この要件に対して最初にどのように提供したかを再検討しますか？ ローカルストレージからコードを実行するリスクはありますか？ URIにコードがない場合でも警告が表示されますが、これは保存した作業であるため、不要な警告のようです。

要件は十分に確立されています。 本番環境でいくつかのXSSの問題に対処する必要がありました。 最新のものは、共有を完全にブロックする必要がありました。 安全でないコードを実行する方法については、いくつかのベクトルがあります。

たとえば、ユーザーはどこからでも貼り付けコードをコピーすることができ、これは実際にはそのような問題につながる可能性があります。 現在の修正では、このようなベクトルを防ぐことはできませんが、技術的には警告付きの実行を制限しています。 もちろん、その周りのUXは懸念事項であるため、学習パスが必要です。

初心者のプログラマーにコードを安全に実行できるかどうかを判断するのではなく、コードを共有するための別のソリューションを検討できるかもしれません。

もちろん。 気軽に見てください。基本的に実行時のインフラレベルのブロックである現在の修正を補強するソリューションが欲しいです。 もちろん、興味があれば、PRのヘルプを利用することもできます。

あるいは、URIを介してコードを共有することは、いたるところで悪い考えである場合もあります。

ビンは計画されていますが、インフラの準備が整っているため、すぐには発生しません。 https://github.com/freeCodeCamp/freeCodeCamp/issues/11263を参照して

これは、ユーザーが唯一のモデルであり、DBを軽量に保つ必要があったときに、徐々に切り離していく予定です。

要件は十分に確立されています。

どれ？ ローカルストレージからコードをフェッチすることが要件の1つであることを理解しています。 それは私には理にかなっています-キャンピングカーは彼らが取り組み始めたコードを失うべきではありません。

URIからコードを実行するための別の要件はありますか？ それについてはよくわかりません。数週間前に見たセキュリティの問題からベルが鳴るだけです。

それらは、2つの異なる目標、および異なるセキュリティリスクを持つ2つの異なる要件のように見えますか？

気軽に見てください。基本的に実行時のインフラレベルのブロックである現在の修正を補強するソリューションが欲しいです。

私はセキュリティの専門家ではありませんが、要件をよりよく理解できれば、何かを考え出してみたいと思います。 誰かが、最新の変更で修正しようとしたセキュリティホールとともに、キャンパーの観点からすべての要件を詳細に説明できますか？ また、「インフラレベルブロック」とは何ですか？

ビンは計画中です。

この問題は、私がそれが何であるかを理解するのに十分詳細にその解決策を説明していません。 「ビン」とは何か、想定されるソリューションとは何かについて詳しく教えてください。

とにかく、これをもっと大きくしたくありません。 たぶん、オンボーディングのステップチャレンジは今のところ正しい回避策です。 しかし、私はそのオンボーディングがどのようになるのか本当に興味があります。 どのコードを信頼すべきで、どのコードを信頼すべきでないかを最初にキャンパーに教えることは可能ですか？ 何か気になっていることがあれば、私が想像しているよりも簡単かもしれないので、私はそれを見たいと思います。

プロジェクトのアーキテクチャについて、好奇心を持っていただきありがとうございます。 私は間違いなくあなたのすべての質問に答えたいと思いますが、私は恐れています、このスレッドのすべてを説明することは十分ではないか、正当化されません。

おそらくこれを始めているとのことですので、できるだけ明確にするように努めますが、不明な点がある場合はクエリを削除してください。

私はこのクエリを取り、あなたにコンテキストを与えることを試みます：

誰かが、最新の変更で修正しようとしたセキュリティホールとともに、キャンパーの観点からすべての要件を詳細に説明できますか？ また、「インフラレベルブロック」とは何ですか？

• まず、クライアント側の本番環境（freeCodeCamp.org）とステージング（beta.freeCodeCamp.org）でコードが評価および実行される方法に大きな違いがあります。 それについて議論することは少し範囲外なので、コードを見てアドバイスします。 ただし、プロセスを俯瞰するために、エディターでコードを取得し、ブラウザーのコンテキストで実行します（ evalを使用してコードを参照）。方法は大きく異なります。

• さて、キャンピングカーの視点に来ます。 キャンピングカーとして行うすべてのシナリオを想像してみてください。

  • エディターでコードの編集を開始できます。
  • エディターにコードを貼り付けることができます
  • 部分的に編集し、別のチャレンジに移動して、戻ってくることができます。
  • 誰かのプロファイルにアクセスしたり、ソリューションの表示リンクをクリックしたり、フォーラム内のリンクをクリックしたりできます。URIとも呼ばれます。
  • あなたは出来る ...
    または、上記の任意の組み合わせも可能です。
• いずれの場合も、コードが解析および評価される同じエディターに到達します。
• この解析は、入力されたコード、ローカルストレージ、またはURIから行うことができます。

• すべての場合において、いくつかの安全性チェックが行われます。たとえば、無限ループ保護、DBに送信する前にソリューションをエンコードする際のタグのストライピングおよび/または交換などです。

• いいえ。 組み合わせの場合、複数の攻撃ベクトルを処理するには非常に複雑です。

• それはただのセキュリティです。

• 次に、ワークフローがあります。

  • ローカルストレージは、DBにアクセスすることなく、作業を「自動保存」するための何らかの方法が必要です。
  • これは、提出されて渡されたソリューションのみがDBに送られるためです。
  • 部分的なソリューション（編集またはコピー貼り付け）、つまり（送信済み+不合格または作業中）はローカルストレージにある必要があります。
  • さらに、前述の理由により、DBとローカルストレージ間のトランザクション（URIの共有/表示）をエンコード/デコードする必要があります。

ここでのトランザクションとは、ユーザーがプロファイルまたは他の場所から共有リンクをクリックしたために、エディターにコードがある状態になることを意味します。

評価のためにソリューションをロードする優先度はEditor > Local Storage > URI/DB

シナリオとワークフローを比較すると、攻撃ベクトルを寄せ付けずに、ロジックがどれほど複雑になるかがわかるでしょう。

したがって、包括的チェックでは、コードロック解除メソッドを介して、明示的な同意なしに、すべてのチャレンジに対してエディターで何も実行しません。 これは私が取っているインフラレベルのブロックです。 ブラウザの分離された環境ですべてのコードを安全に実行する方法が見つかるまで、これはどこにも行きません。

私はこれがUXにとって悪いかもしれないことに同意します。 したがって、オンボーディングは、あまり複雑にならず、新しいユーザーを怖がらせることなく、なぜこれが必要なのかを示す方法になる可能性があります。

最後に、ビンは短いリンクのようなものに

これらは、現在の優先度のオーバーヘッドなしにコードを安全に保存/表示するのに役立ちます。

そう、

実際のUXの修正は、オンボーディングチャレンジで警告を説明するだけです。

ここでは単純化しすぎている可能性があることに注意してください。 興味があれば、コードをチェックすることをお勧めします。 行き詰まった場合、私たちはその面での理解に対処するためにオープンです。 ですから、ここに質問を入れてください。

繰り返しになりますが、

1. はい、複数の要件がありますが、実行/評価および表示のためのエントリポイントはすべて同じです。 したがって、ロック/ロック解除が必要です。 それらはすべて同じセキュリティリスクにつながります。
2. これは現在のところ、評価メカニズムへのコードのすべての着信パスに対する包括的なチェックです。
3. 私たちは間違いなく、何らかの形の学習としてUXに取り組む必要があります。

どのコードを信頼すべきで、どのコードを信頼すべきでないかを最初にキャンパーに教えることは可能ですか？ 何か気になっていることがあれば、私が想像しているよりも簡単かもしれないので、私はそれを見たいと思います。

1. キャンパーが課題の解決のために作成したコード（手動で入力するか、他のエディターからコピーして貼り付ける）は信頼されています。

2. 他の誰かによって作成されたコード（自分のプロファイルからのリンクを含む）は信頼されていないため、一度確認する必要があります。 彼らは単純に、エディターのソリューションが彼らにとって意味があることを確認することができます。 なぜなら、彼らがランダムなコードのロックを解除している場合、それが何であるかを理解せずに、いくつかの可能なセキュリティセーフガードを危険にさらす可能性があるからです。

上記の2つのポイントについての言い回しを準備し、オンボーディングチャレンジを作成する必要があります。

これがあなたにいくつかの文脈を与えることを願っていますか？ そうでない場合は、クエリを追加してください。 幸せな貢献！

@raisedadeadあなたの詳細な説明は大いに役立ちます。 私は、私たちが最良の短期的および長期的な実施につながることを願っているいくつかの質問/観察があります。

エディターでコードを取得し、ブラウザーのコンテキストで実行します（evalを使用）

これがセキュリティ問題を引き起こす弱点です。 回避できると言っているわけではありませんが、同じ機能を提供するためのより安全な方法を誰かが思いついた場合に備えて、ブレインストーミングを行う必要があることに注意してください。 結局のところ、コードを実行する必要があるからではないかもしれません。 しかし、それについてはオープンマインドを保ちましょう。 私は周りに尋ねることを約束します。

機能と要件をもう少し詳しく見てみましょう。

部分的なソリューション（編集またはコピー貼り付け）、つまり（送信済み+不合格または作業中）はローカルストレージにある必要があります。

キャンパーが課題の解決のために作成したコード（手動で入力するか、他のエディターからコピーして貼り付ける）は信頼されています。

上記のことから、ローカルストレージからのコードは信頼されるべきであるが、信頼されていないように見えます。 URI（絶対に信頼されていない）からのコードと、以前に入力したローカルストレージからのコードを区別する方法はありますか？ その小さな変更だけで、UXははるかに良くなります。 特に、メッセージをより具体的にすることができたので、「コードを含むURIを使用しましたが、コードを信頼しますか？」

URIからのコードだけを検出して信頼することができなければ、既存のワークフローと機能にうまく適合すると思います。 コードがURIからのものである場合、ユーザーが「コードのロック/ロック解除？」を押すまで、コードをローカルストレージに保存しません。 ボタン。 その後、ユーザーはコードを信頼していることを示したので、安全にローカルストレージに入れて、後で戻ってきたときに警告なしに実行できます。

長期的には、URIでコードを送信することが全体的に悪い考えであるかどうか、そしてソリューションとコードを共有するためのより良い方法を見つけることができるかどうかは間違いなく疑問です。 しかし、それは物事が現在行われている方法にいくつかの大きな変更を必要とするので、それはより長期的な質問であることを繰り返します。

彼らは単純に、エディターのソリューションが彼らにとって意味があることを確認することができます。

これにより、オンボーディングは効果的であるほど簡単である可能性があると私は確信しました。 「エディターのコードを認識または理解していない場合は、信頼しないでください。」

しかし、URIからのコードとローカルストレージ内のコードを区別できる場合は、オンボーディングが必要かどうかさえ疑問に思っています。そのような状況でのみ警告することは、私には悪いUXのようには思えないからです。 「URIのコードを使用したばかりです。ロックを解除する前に、エディターのコードに意味があることを確認してください。」

@raisedadead @tchaffeeに会ったことがあるかどうかはわかりませんが、彼はfreeCodeCampに多大な貢献をしています。 彼は経験豊富な開発者であり、新しいテスト可能なプロジェクトの背後にいる主要人物の1人です。

わかりました...これは、搭乗のためにステップチャレンジが必要になることを意味します。

これ以上ステップチャレンジを追加したくありません。 どちらかといえば、私たちは私たちが持っているステップの課題を取り除きたいと思っています。

これは、人々が読んでいないためです。

チャレンジレッスンのテキストをできるだけ簡潔にしようとする理由の1つは、テキストが多いほど、ユーザーがそれを読む忍耐力が低下するためです。

@tchaffeeは正しいです-これのUXを改善する必要があります。

他の誰かのコードを含むURLをクリックしてチャレンジに到達した場合にのみ、コードをロックすることを提案します。 それ以外の場合は、コードの実行について警告するべきではありません。

JSBin、CodePen、これらのサイトのいずれも、このような他の人のコードを実行することについて人々に警告しているとは思いません。 私たちは彼らに警告することができると思いますが、彼らが彼らのものではないコードを実行している可能性が高い状況でのみです。 そうでなければ、そのボタンをクリックすることは本当に迷惑であり、消耗を増加させます。

エディターでコードの編集を開始できます。

ロックは必要ありません。

エディターにコードを貼り付けることができます

ロックは必要ありません（貼り付けているコードをすでに読んでいると想定する必要があります）

部分的に編集し、別のチャレンジに移動して、戻ってくることができます。

ロックは必要ありません

誰かのプロファイルにアクセスしたり、ソリューションの表示リンクをクリックしたり、フォーラムのリンクをクリックしたりできます。

これは、ロックが必要な場合の唯一の状況です。

また、ホバーメッセージが不要な場所にこれを言い換える必要があります。 コードベースの他の場所ではホバーメッセージを使用しません。モバイルでは機能しないため、使用しないでください。 使用するすべてのテキストは、ボタン自体に書き込む必要があります。

使用するすべてのテキストは、ボタン自体に書き込む必要があります。

「コードがロックされているのはなぜですか？」の行に沿ってボタンの下にリンクも表示すると、既存のボタンのテキストが機能すると思います。 ただの提案。

また、他に時間がない場合は、この問題に取り組むことができます。 関連するすべてのコードを教えてくれる人の助けが必要です。 しかし、もっと資格があり、喜んでいる人がいるなら、確かに彼らにこの問題を取り上げさせてください。

@tchaffeeそれは素晴らしいことです！

リンクを付けるのではなく、ボタンが2行の長さであっても、できるだけ少ない単語で説明するための簡潔な方法を理解する必要があります。 「私はこのコードを信頼しています。ロックを解除してください。」

繰り返しますが、コードがキャンピングカーのものでない場合にのみ、このボタンを表示したいと思います。

@QuincyLarsonはい、オンボーディングフローを避け、ラベルのみを更新したいと思います。

それでも、現在のクライアント側のロジックに従って、非ユーザーコードのみをブロックする実装を実装する必要があるという事実が残ります。

これは、コードがURIなどからのものである場合にのみ、ボタン"I trust this code. Unlock it."を表示できるようにするためのロジックを実装する必要があることを意味します。

ラベルを更新して他の問題を閉じるためにPRを追加しますhttps://github.com/freeCodeCamp/freeCodeCamp/issues/16250

それでも、現在のクライアント側のロジックに従って、非ユーザーコードのみをブロックする実装を実装する必要があるという事実が残ります。

これが新しい動作を実装するという私の申し出をどこに残すのかわからない。 ユーザー以外のコードのみをブロックするように実装することはできますが、今は適切なタイミングではないようです。 誰かが明確にできますか？

何をすべきかについて非常に具体的なガイドラインを提供するために、これがどのように機能するかを再確認する必要があります。その間、彼の入力に@BerkeleyTrueのタグを

これは、「このコードを信頼します。ロックを解除する」ボタンのロジックを意味します。 コードがURIなどからのものである場合にのみ表示できるようにするためには、まだ実装する必要があります。

@raisedadeadはい-私はあなたに同意します。 そうすることは重要であり、何千人ものキャンピングカーの正気を救うでしょう。

これをベータリリースかんばんの「クリティカルパス」に移動しました： https ：

誰かが問題のコードの部分を教えてくれれば、私はこれを試してみることができてうれしいです。 自分で見つけることができると確信していますが、誰かがすでにコードに精通している場合は、時間を節約できます。 誰かがこれのステータスを教えてもらえますか？

@tchaffee今しばらくお待ちいただきますようお願いいたします。

@Bounceyこのロジックがコードベースのどこにあるか知っていますか？ @tchaffeeを正しい方向に

@tchaffee

pathnameSelector URIを確認できます

SidePanelコンポーネントのmapStatetoPropsメソッドに渡すことで使用し、そこからToolPanelコンポーネントを操作できます。

これがお役に立てば幸いです👍

私はこれを見始めました、そして私は質問があります。 誰かが私に次のことを行うことができる方法の例を教えてもらえますか？

誰かのプロファイルにアクセスしたり、ソリューションの表示リンクをクリックしたり、フォーラム内のリンクをクリックしたりできます。URIとも呼ばれます。

ベータサイトでは、ソリューションのポップアップのみが表示され、コードをロードするURIは表示されません。 どうやらこれはベータ版で変更されたようですか？ URIからコードをロードできる場所は他にありますか？ 誰かが私にURIの例を教えてもらえますか？

ありがとう！

正しい@tchaffee 、このユースケースは無効になりました：

誰かのプロファイルにアクセスしたり、ソリューションの表示リンクをクリックしたり、フォーラム内のリンクをクリックしたりできます。URIとも呼ばれます。

実際、モーダルに置き換えられ、エディターでURIを解析するよりもはるかに安全になりました。 ですから、URIからの読み込みはもう見えないと思います。

さて、これは私たちにコードのロック/ロック解除をもたらします。 そのとき、ボタンを表示する必要があります。

これが私が考えることができるいくつかのシナリオです：

1. キャンピングカーは、マップからチャレンジを再訪できます。
2. このような場合、コードは、可能な場合はローカルストレージからエディターにロードされます。
3. または、バックエンドからフェッチされ、ローカルストレージに追加されてから、エディターに配置されます。

さて、理想的な世界では、このコードがキャンピングカーによって所有されている場合があります。

ただし、可能性が何であれ、エディターにロードされて実行されるのはコードです。 これにより、安全でないコードが実行される可能性のある場所が残りますか？ 少なくともそれは私が見ることができるベクトルです。

したがって、キャンパーが何を実行するかを認識し、明示的な同意を得て実行されるようにする必要があります。

したがって、ローカルストレージまたはバックエンド（非ユーザーコード）からコードをブロックする部分はまだ残っていると思います。 しかし、そのためのボタンを持っていることは、私が思うに不必要なことです。

元のシードコードまたはキャンピングカーによって入力されたもの（ユーザーコード）以外の場合は、実行されていない非ユーザーコードをロックできるはずです。

@Bouncey @BerkeleyTrueこのビューで正しいですか？

ああ、そうです。URI解析はまだ利用可能であり、どこにも行きません。チャレンジエディターは、ソリューションのモーダルを備えたリアクションプロファイルビューがあるという事実にとらわれないためです。

時間があれば、URIの例を共有してみます。

ただし、可能性が何であれ、エディターにロードされて実行されるのはコードです。 これにより、安全でないコードが実行される可能性のある場所が残りますか？

そうではないと思います。 キャンパーが他の場所からコードをコピー/貼り付けする場合、コードを理解し、コードが安全であることを確認するのは彼らの責任です。 このアプローチはまた、正直に報い、不正行為を罰します-コピーされたコードが何であるかを理解していない場合は、決してそれを貼り付けてはなりません。 あなたがそれを理解していなければ、あなたは明らかにそれを自分で書くことができなかったでしょう、それであなたが引き起こすどんな損害も本当の不正行為の結果です。

初めてエディターにコードを取り込む「正直な」方法は2つだけですか？

1. あなたが理解し、自分で書いた可能性のあるものをコピーして貼り付けます。
2. 自分でコードを入力します。

どの時点でローカルストレージまたはバックエンドに保存されますか？

ローカルストレージまたはバックエンドから取得され、エディターに配置されるコードは、最初に上記のいずれかの方法から取得する必要がありました。 そのため、ローカルストレージまたはバックエンドからのコードは常に安全なものとして扱うことができます。

元のシードコードまたはキャンピングカーによって入力されたもの（ユーザーコード）以外の場合は、実行されていない非ユーザーコードをロックできるはずです。

上記のように、IMOこれは必要ありません。

URI解析は引き続き利用可能であり、チャレンジエディターは、ソリューションのモーダルを備えた反応プロファイルビューがあるという事実にとらわれないため、どこにも行きません。

これは私が考えることができる唯一の安全でないベクトルです。 例を挙げていただければ、これを検出して、この場合にのみ[ロック解除]ボタンを表示しようとします。

もちろん、私が何かを逃した場合は、私を訂正してください。

はい、あなたが述べる最初の2つのポイントは、コードをロックするための最も低いケースのシナリオであり、私は同意します。 そして理想的にはそれをブロックする必要があります。 それは費用のかかることです。

どの時点でローカルストレージまたはバックエンドに保存されますか？

エディターでコードが利用可能になるとすぐに保存されます。 したがって、コピーの貼り付けと入力はその中でカウントされます。

これは私が考えることができる唯一の安全でないベクトルです。 例を挙げていただければ、これを検出して、この場合にのみ[ロック解除]ボタンを表示しようとします。

これは、処理する必要がある唯一のケースです。 また、これは今のところ優先事項ではありません。 これのユースケースは、URIを介したサードパーティの統合からWebアプリへのソリューションがある場合です。

したがって、適切なチェックで十分であり、正しく理解したように、これのみをインテリジェントにブロックする必要があります。

URIの例をできるだけ早く共有します。 （可能であればスチュアート、これまで私を殴ってください）

@raisedadead説明してくれてありがとう。 ユーザーが最初にチャレンジをロードし、URLにコードパラメータがある場合にのみボタンをロックする必要があることに同意します。 他のすべての状況では、コードをロックするのではなく、ユーザーがボタンをクリックするか、Ctrl + Enterを最初に押したときにコードを実行する必要があります。

誰かがURLのコードの例を教えてくれるとすぐに、私はこれに取り組み始めることができます。

@tchaffeeここでURIのコードをテストします。

このようにifブロックのコードをロックするアクションをディスパッチできます

return Observable.of(
  makeToast({
    message: 'I found code in the URI. Loading now.'
  }),
  storedCodeFound(challenge, finalFiles),
  // lockTheCodeAction()
);

これにより、コードURIを使用できるようになるまで、生産性が維持されます。

ここで@tchaffeeは、例のURLです：のhttp：// localhostを：？3000 /課題/チェック％20for％20Palindromesソリューション=関数％20palindrome（STR）％20％7B％0A％20％20str％20％3D％20str.toLowerCase （）.replace（％2F％5B％5CW_％5D％2Fg％2C％20％27％27）％3B％0A％20％20for（var％20i％20％3D％200％2C％20len％20％3D ％20str.length％20-％201％3B％20i％20％3C％20len％2F2％3B％20i％2B％2B）％20％7B％0A％20％20％20％20if（str％5Bi％5D ％20！％3D％3D％20str％5Blen-i％5D）％20％7B％0A％20％20％20％20％20％20return％20false％3B％0A％20％20％20％20％7D ％0A％20％20％7D％0A％20％20return％20true％3B％0A％7D

これにより、 http：// localhost ：3000 / Challenges / check-for-palindromes URLが表示され、次のコードが入力されます。

function palindrome(str) {
  str = str.toLowerCase().replace(/[\W_]/g, '');
  for(var i = 0, len = str.length - 1; i < len/2; i++) {
    if(str[i] !== str[len-i]) {
      return false;
    }
  }
  return true;
}

@QuincyLarsonありがとうございます。 私は自分の仕事をテストすることができずにこれに取り組むことを躊躇しました。 私はこれをすぐに見るために少し時間を取っておくことができます。

@tchaffee素晴らしい！ お役に立てて嬉しいです。 ブロックを解除するために他に何かできることがあれば教えてください:)

使用する必要のある実際のURLはhttp：// localhost ：3000 / en / Challenges / javascript-algorithms-and-data-structures-projects / palindrome-checker？solution = function％20palindrome（str）％20％7B％0Aです。 ％20％20str％20％3D％20str.toLowerCase（）。replace（％2F％5B％5CW_％5D％2Fg％2C％20％27％27）％3B％0A％20％20for（var％20i％20 ％3D％200％2C％20len％20％3D％20str.length％20-％201％3B％20i％20％3C％20len％2F2％3B％20i％2B％2B）％20％7B％0A％20 ％20％20％20if（str％5Bi％5D％20！％3D％3D％20str％5Blen-i％5D）％20％7B％0A％20％20％20％20％20％20return％20false％3B ％0A％20％20％20％20％7D％0A％20％20％7D％0A％20％20return％20true％3B％0A％7D

ドキュメントのためにこれをここに置くだけです。 コメントする必要はありません。

@Bounceyアクションをディスパッチする既存のコードを教えていただけますか？ ありがとう。

承知しました

コンポーネント内から

叙事詩からの単一のアクション

1つの叙事詩からの複数のアクション

これが役立つことを願っています：+1：

ハッピーコーディング！

コードをサンドボックス化するという観点からは、このすべてのロック/ロック解除は最善のアイデアではないと思います。 代わりに、別のオリジンのiframe内のコードを評価して、Camperのセッションと対話する方法がないことを確認する必要があると思います。

（余談ですが、少し関連性があります）：潜在的なセキュリティ問題をfreeCodeCampに報告するための好ましい方法は何ですか？

@ joker314お気軽にメールを送ってください[email protected]

この問題は問題＃16904によってブロックされていることに注意してください

この問題は最近アクティブになっていないため、古いものとしてクローズします。 これがまだ新しく更新されたプラットフォームに関連していると思われる場合は、その理由を説明してから、再度開いてください。