eval()のセキュリティへの影響について読みましたが、得られないものがあります。eval()が入力ボックスをコンパイルしている最悪のシナリオを想像してみてください。ハッカーはそれに何でも入力でき、実行されますが、最近のブラウザでは、たとえば次のようになります。Chromeは、とにかくコンソールからまったく同じことを実行できませんでしたか?
質問する
150 次
1 に答える
1
もちろんですが、ユーザーの目標は自分のデータを盗むことではありません。
危険なのは、他の誰かが、ユーザーのページで評価が行われることを知っている場所に悪意のあるコードを持ち込むことに成功することです。
このような問題を悪用する攻撃は、クロスサイトスクリプティングと呼ばれます。
他の同様のセキュリティ問題は、スクリプトタグを含む可能性のあるHTMLを直接追加することです。たとえば、フォーラムの実装中にこれを行い、ユーザーが制限なしでHTMLを記述できる場合、他のユーザーのページでスクリプトタグを実行できます。
于 2012-12-20T05:30:33.210 に答える