我读到了 eval() 的安全含义,但是有些东西我不明白。想象一个最坏的情况,其中 eval() 正在编译一个输入框。黑客可以在上面输入任何内容,它会运行,但在现代浏览器中,例如:Chrome 不能在控制台上做同样的事情吗?
问问题
150 次
1 回答
1
当然可以,但用户的目标不是窃取自己的数据。
危险是其他人成功地将恶意代码带到他知道将在用户页面上发生评估的地方。
利用此类问题的攻击称为跨站点脚本
另一个类似的安全问题是直接附加可能包含脚本标记的 HTML。例如,如果您在实现论坛时这样做,并且允许用户编写 HTML 而没有任何限制,那么他们可以在其他用户的页面中执行脚本标记。
于 2012-12-20T05:30:33.210 回答