个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我试过谷歌搜索但没有得到非常具体的答案.. 再一次,我可能没有使用正确的关键字.. 有人可以指出 javascript eval 可能导致的“安全”问题吗?有例子非常好。如果您可以指向执行相同操作的现有 Web 资源,也将执行此操作。
编辑:我只需要评估的安全隐患。
最佳答案
eval() 可能是设计不佳的标志。例如,有时人们使用它来访问对象属性,因为他们不知道您可以使用 [] 表示法,即 eval('obj.' + prop_name)。如果您 eval() 用户内容,它也是 XSS 漏洞的来源,因为它可能被解释为 JS。它也往往比替代方案慢。
这将是使用 eval() 解析 JSON 时最基本的 XSS 示例:
eval({"a": "b", 'c': "d" + alert("xss") + ""})
要获得这样的漏洞,您必须懒惰地构建 JSON 而不是转义引号,但是有更复杂的示例,并且使用像 Douglas Crockford (json.org) 这样的专门库可以避免它。
关于javascript - javascript eval 会带来什么问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3607539/
24
4
0
当我为我的项目运行“mvn dependency:tree”时,它显示如下: [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ x
我调用 ajax 的脚本 function search_func(value) { $.ajax({ type: "GET", url: "sample.php
我正在使用 SIM 安装 Sitecore 8.1,但在打开启动板时,由于 ajax 请求返回 HTTP 500 错误,出现了几个 Javascript 错误。查看开发人员工具会显示以下消息: htt
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我有一张 table : +-----------+-------------+------+-----+---------+-------+| Field | Type | N
所以,我对这个阵列很生气,第 2 天让我感到疼痛 *.... 我正在开发面向对象的 PHP 脚本。 我得到一个数组: Array ( [0] => Project Object ( [project_
我正在尝试将我的一个 Rails 项目升级到 Ruby 1.9.2。一切进展顺利,但一个 RSpec 测试失败了。在这个测试中,我需要一个Ruby lib: # file spec/models/my
我可以使用 Maven 的插件 spring-boot:run 运行 Spring Boot,但是当我尝试执行打包的 jar 时,它给出: Error creating bean with name
我是一名优秀的程序员,十分优秀!