La stratégie de sécurité de contenu désactive l'utilisation de la fonction Eval JavaScript ainsi que scripts en ligne. Ils prétendent que toutes les instances d'EVAL peuvent être remplacées par une autre fonction (espérons-la plus sûre). Je suis d'accord dans la plupart des scénarios, JavaScript Eval peut être remplacé, mais je ne sais pas si le remplacement est possible pour chaque cas.
Ma question est double:
3 Réponses :
Vous pouvez envelopper le script Java dans un appel de fonction similaire à JSONP, puis créer de manière dynamique une balise de script à charger cela.
désolé pouvez-vous expliquer cela un peu plus? Si je veux exécuter: eval (document.cookie = "quelques entrées d'utilisateur"); Comment remplacez-vous cela par un appel de fonction JavaScript sans utiliser Eval?
Donc, si le code que vous essayiez d'être exécuté était var test = "bonjour monde"; vous pouvez convertir cela en fonction () {var test = "bonjour world"} alors vous généreriez de manière dynamique une étiquette de script à charger ce code qui évaluerait
J'ai pensé cela aussi, mais cela fonctionne-t-il pour chaque cas?
Les utilisations les plus courantes qui peuvent être substituées sont les suivantes. Je voudrais certainement utiliser ces premiers.
Accéder aux propriétés dynamiques
Utilisez: n'utilise pas analyse JSON
Utilisez n'utilise pas Calcul de l'utilisateur utilisateur
Utilisez un certain bibliothèque
n'utilise pas Si vraiment nécessaire, vous pouvez également envoyer le script à un serveur qui le fait simplement l'écho, et vous pouvez le demander comme une étiquette de script. Il n'utilisera pas Vous pouvez dire que cela répond également automatiquement à votre deuxième question avec "Non '. obj [keasvariable]
eval ('obj.' + keysvariable)
json.parse (données)
eval ('("+ données +') ')
eval (entrée)
eval mais l'exécuter toujours. Ce n'est pas en sécurité car il est envoyé deux fois sur Internet. request_script pourrait être un fichier implémenté dans PHP, comme ce qui suit. Encore une fois, c'est une mauvaise pratique mais est une façon générique de contourner eval .
Merci, la méthode du script de demande est ce que je recherche.
@PIMVDB Pas besoin de le rebondir sur un serveur. Vérifiez ma réponse ajoutée pour un altentif à cette suggestion ...
au lieu d'utiliser eval Vous pouvez également utiliser un blob et charger le code comme s'il s'agissait d'un js externe fichier:
Pour vous assurer que les fonctions ou variables qui se trouvent à l'intérieur du code que vous chargez sont disponibles, vous devez utiliser une méthode Callback qui sera déclenchée Overload événement. < Pré> xxx
Ce n'est pas dupliquer
Super! Ce qui doit être modifié si code doit recevoir un argument et il a une valeur de retour?
Veuillez poster un exemple, où vous n'êtes pas sûr de le remplacer. Sinon, c'est un peu difficile de vous aider.
Eh bien, le problème est que je ne peux pas trouver un exemple où je ne peux pas remplacer. Cependant, je ne peux pas non plus trouver une manière générique de remplacer EVAL (c'est différent pour chaque cas).
@Tony: Avez-vous un cas d'utilisation du monde réel ou êtes-vous simplement intéressé de voir si une transformation universelle de
eval à une autre construction de langue existe?Mozilla permet
eval fonctionner. À partir de août 2018.