安全性考虑

Thebe允许用户在Python中运行任意代码，也可能在Javascript中运行。这使得交互式图形和自定义输出可以在您的文档中运行，这是Thebe带来的好处！✨

然而，这也可能导致跨站脚本（XSS）攻击，最常见的情况是自我XSS攻击。当某人执行他们不理解的代码或恶意代码时，就会发生这种情况。

例如，Jupyter中的%%html和%%javascript单元格魔术可以直接将脚本标签插入到页面中。它们可以潜在地修改DOM，代表用户进行API调用，或者运行不受信任的代码。

建议您在静态环境中运行Thebe（例如ReadTheDocs或类似的环境），这些环境无法访问用户凭证，如cookie或API密钥。