![](/img/trans.png)
[英]How To Reach Local Insecure (HTTP) Server From A Secure (HTTPS) Page
[英]How secure or insecure is this JavaScript code if run on the server (nodeJS)?
如果在服務器上執行,這種類型的代碼可能會出現什么無法預料的問題,對此感到好奇。 或者,如果有任何非eval
替代方案。
var a = {b:1, c:2, d:3, e:[1,2,3]};
(function(path) { return eval('this'+path) }).call(a, '.e[2]');
給定path
是一個靜態值( ".e[2]"
)並且a
沒有任何惡意訪問者,那么這里沒有什么不安全的地方,除了完全沒有必要。
但是,如果path
確實來自客戶端或其他不受信任的來源,那么將path
傳遞給eval
是您最糟糕的事情。 它可以完成JS代碼在節點中可以做的所有事情-足以嚴重傷害您。
是的,有許多非評估的替代方案 。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.