问就安全性而言，浏览器中的JavaScript实现与服务器端语言(例如Python)实现有根本的不同吗？

EN

是否存在通过不受信任的代码和数据而不是仅通过不受信任的数据进行的攻击？

如果可以信任代码，则通常可以在进一步处理数据之前使用此受信任代码验证不受信任的数据。如果代码也不受信任，这是不可能的。这就是为什么浏览器内部的Javascript引擎(正在执行不可信代码)在有限的环境(沙箱)中运行，因此不受信任的代码不会对底层系统造成损害。例如，这意味着文件和网络访问受到严重限制。

在某些情况下，攻击者设法将自己的代码注入可信的执行环境中。如果是这种情况，攻击者代码具有相同的信任级别，那么其他受信任的代码就会造成巨大的破坏，因为环境的假设是代码可以被信任。这种注入的一个典型示例是对攻击者提供的数据调用评估，从而将这些数据解释为受信任的代码。

换句话说，与恶意数据和恶意代码相比，仅针对恶意数据保护语言实现是一项更简单的任务吗？

是的，如果可以完全信任代码，则不需要对执行环境执行额外的限制，因为可以预期受信任的代码正确地验证不受信任的数据。当然，作为深入防御的一部分，推荐使用限制，因为大多数复杂的代码都有bug。

另一方面，如果代码不能被信任，则必须限制执行环境所能做的事情。这使得它变得更加复杂，因为除了现有的语言之外，还需要这种保护。而且，过去几年Java沙箱中的所有bug都表明，设计和实现这样一个受限的执行环境并不容易。

是否存在通过不受信任的代码和数据而不是仅通过不受信任的数据进行的攻击？如果是这样的话，假设Python实现可以忽略这些类型的攻击，但是JS实现必须对它们安全吗？

一个例子是高精度测量时间的能力(定时器，并发循环)。利用幽灵幽灵漏洞需要这样的计时器。为了减少漏洞，一些浏览器降低了JavaScript定时器的分辨率。服务器端执行环境不需要这样的限制。