<p>Short from my phone.</p>
<p>Problem is not executing js in itself.<br>
Problem is executed js could execute python on kernel side.</p>
<p>So we need to prevent inlined js in cell output as notebook store cell output that woul be executed at load time.</p>
<p>Stripping js from cell output render the ability to display js useless.</p>
<p>Also I suppose everybody trust its own js. But you can&#39;t always trust files you receive from others.</p>
<p>Finally json plugin can be use to developp a plugin that allow to execute arbitrary JS. It will just not be supported by the core team. <br>
-- <br>
Matthias</p>
<div class="gmail_quote">Le 31 déc. 2012 18:02, &quot;Nissim Karpenstein&quot; &lt;<a href="mailto:nissimk@gmail.com">nissimk@gmail.com</a>&gt; a écrit :<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Syntax highlight changing for the %%language cells sounds closer to what I was thinking of.  <div><br></div><div>Can you guys explain to me the security concerns?  There are several JS+CSS+HTML web based editors which execute your code in your browser, like JSFiddle and JSBin.  <a href="http://jsfiddle.net" target="_blank">http://jsfiddle.net</a> and <a href="http://jsbin.com" target="_blank">http://jsbin.com</a> .  Wouldn&#39;t allowing arbitrary users to execute python code on your server be much more of a security risk than allowing arbitrary javascript code to run in the browser?  Doesn&#39;t the browser provide some security by segmenting resources by origin so any javascript code executed by the notebook will not be able to access resources stored by other sites?  I suppose javascript in the notebook could be used to crash the browser, or to make the browser send too many requests to some server, but could it really access user&#39;s data?  Do you mean something else by your security concerns?  Is the notebook storing sensitive data in the browser&#39;s local storage or cookies?</div>

<div><br></div><div>I did find this thing, but it really sounds like overkill to me for a programmer&#39;s tool: <a href="https://developers.google.com/caja/docs/about/" target="_blank">https://developers.google.com/caja/docs/about/</a></div>

<div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Dec 31, 2012 at 11:17 AM, Jason Grout <span dir="ltr">&lt;<a href="mailto:jason-sage@creativetrax.com" target="_blank">jason-sage@creativetrax.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On 12/29/12 11:29 AM, Brian Granger wrote:<br>
&gt; We don&#39;t want to allow notebooks that mix different languages at the<br>
&gt; CodeCell level.<br>
<br>
</div>Of course, cell magics alleviate this restriction, as we can right now<br>
do %%r, %%cython, etc., to effectively get different languages in<br>
different cells.<br>
<br>
I don&#39;t see why we can&#39;t have a %%javascript that then just echoes the<br>
javascript back to the browser to execute.  What would be cool is for<br>
the syntax highlighting to also change if the cell detects that it is a<br>
%%r cell, etc.<br>
<br>
Thanks,<br>
<br>
Jason<br>
<div><div><br>
_______________________________________________<br>
IPython-dev mailing list<br>
<a href="mailto:IPython-dev@scipy.org" target="_blank">IPython-dev@scipy.org</a><br>
<a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
</div></div></blockquote></div><br></div>
<br>_______________________________________________<br>
IPython-dev mailing list<br>
<a href="mailto:IPython-dev@scipy.org">IPython-dev@scipy.org</a><br>
<a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
<br></blockquote></div>