3

我正在使用无处不在的jquery validate 插件进行表单验证。它支持使用元数据插件向表单元素添加验证规则。

我正在使用这个功能。当 validate 查找这些规则时,它会在元素上进行此调用:

$(element).metadata()[meta] 

wheremeta是您存储这些规则的前缀。例如

<input data-validate="{maxLength: 12}" name='foo'/>

meta 的值将设置为“验证”以获取这些属性。但是这里有个大问题!

以下是元数据插件将数据属性解析为 json 的操作:

var getObject = function(data) {
    if(typeof data != "string") return data;
    data = eval("(" + data + ")"); //oh no!!!!!
    return data;
} 

if ( settings.type == "html5" ) {
    var object = {};
    $( elem.attributes ).each(function() {
        var name = this.nodeName;
        if(name.match(/^data-/)) name = name.replace(/^data-/, '');
        else return true;
        object[name] = getObject(this.nodeValue);
    });
} 

所以最终发生的是元数据解析所有data-*属性并尝试评估内容!一旦你包含一个不包含 json 的数据属性,这就会破坏东西。

现在的问题:

似乎元数据和验证都是“尝试过的和真实的”插件。这是使用人们刚刚使用的元数据插件的已知副作用吗?

我通常不喜欢修改插件代码以适应我的项目需求,但这似乎我应该:

  • 修复元数据插件不盲目评估东西,不使用评估或
  • 修复要使用的验证插件.data()而不是元数据插件

另外,除了修改元数据插件之外,还有其他方法吗

赏金后编辑: 我应该更清楚地说明这一点,我会对有关这可能如何发生的一些讨论感兴趣。在规范验证插件和我见过的由 resig 编写的随处使用的插件中如何可能存在如此严重的错误。

修复很简单,我已经应用了它(我选择修改验证插件以在定义“元”时使用 $.data) - 我在这里给出 150 分是关于为什么这仍然是一个问题的想法(或者也许不是!)

4

2 回答 2

7

正如您所发现的,“错误”(使用 eval)在于元数据插件,而不是验证插件。

您链接到的元数据插件版本实际上是一个分叉;jQuery 团队有官方 repo。如果您查看提交历史记录,您会发现自 2007 年以来没有任何真正的代码更新。该插件自 2011 年 4 月以来已正式弃用

(John Resig 在 2008 年 7 月发表了关于HTML5 数据属性的博客,并且在 2010 年10 月发布的1.4.3中支持 jQuery 核心。)

所以我猜你的“这可能是怎么发生的”问题的答案是你不应该再使用这个插件了:-)

更新:官方”存储库现在位于“jQuery 基金会孤儿项目”下。)

As for the validate plugin, aside from some of the demos and the meta option, I can't find any mention of the metadata plugin in the documentation. There is ongoing work to add support for data- attributes and deprecate the metadata plugin, so hopefully when the next version is ready the metadata plugin can finally be abandoned.

于 2012-07-04T11:02:53.927 回答
0
data = eval("(" + data + ")"); //oh no!!!!

替换它的方法之一

data = $.parseJSON(data); // oh yes!!!

实际上,当您使用 .data() 方法获取“数据”时,它会尝试解析它,并且做得很好。所以最好从使用它的元素中检索数据。之后,您将获得一个缓存对象,该对象将连接到节点并更快地为您提供属性值。

是元数据插件的分叉版本,不会评估他得到的所有内容。关于这一点,您必须知道一件事。您应该像在 JSON 中一样引用 dict 的所有部分,但并不总是在双引号中。

{'foo': 'bar', "m": true, "b": 1}; // works
{foo: 'bar', m: true, b: 1}; // won`t work
于 2012-07-02T14:44:18.650 回答