gpt4 book ai didi

javascript - 在服务器发送的 JavaScript 代码上安全使用 eval()

转载 作者:IT老高 更新时间:2023-10-28 23:16:51 26 4
gpt4 key购买 nike

我正在使用 Node.js 和 Socket.io。我编写了一个应用程序,它可以从服务器发送 JavaScript 片段并在客户端执行它们。 JavaScript 通过 Secure WebSocket (WSS) 发送,客户端有一个监听器,它将执行通过服务器传递给它的任何代码。

这个简短的脚本演示了原理:http://jsfiddle.net/KMURe/你可以把 onScript 函数想象成套接字监听器。

问题

我可以采用哪些安全协议(protocol)来确保此交易的安全?安全的 websocket channel 是否会使第三方难以充当中间人(在将代码发送到客户端之前更改代码)?

一些用例..

  • 动态分配的分布式计算。
  • 浏览器客户端可以动态向服务器学习。
  • 统一更新浏览器行为。

最佳答案

eval(),即使你有合法使用,也是危险的。您应该不惜一切代价避免使用它。小心使用它。

但是,如果确实需要,您可以通过 "use strict" command 使用严格模式.当eval() is executed in a strict function , eval 的内容不会在直接范围内泄漏。 eval 中的代码将是 contained in eval()本身(好像它有自己的范围)。 In the demo ,尝试删除尾随的 xeval() 将返回 undefined

但是,使用 eval() 仍然很危险。最好找到像 JSON 这样的替代方案,其中包含将在客户端解析的自定义字符串命令。

关于javascript - 在服务器发送的 JavaScript 代码上安全使用 eval(),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10489874/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com