7
我從遠程處理函數(clojurescriptone)中瀏覽此代碼,從瀏覽器發回的數據正在被讀取。我的問題是將read-eval設置爲false的意義是什麼?變量* read-eval *做什麼?
(結合[讀EVAL假](讀取字符串數據))
謝謝, 穆爾塔扎
A
回答
9
這是一個安全措施,以便在瀏覽器不能發送代碼,以在服務器中執行。例如,如果客戶端/瀏覽器發送"#=(eval (System/exit 1))"且* read-eval *爲true,則服務器進程將退出,這可能是您不想要的。
見行爲的差異:
(binding [*read-eval* false] (read-string "#=(eval (System/exit 1))"))
(binding [*read-eval* true] (read-string "#=(eval (System/exit 1))"))
也可參閱*read-eval*的文檔。
4
的*read-eval*的主要目的是爲了讓讀者在讀時間的東西,沒有一個文字符號對錶達式求值,通常。如果*read-eval*爲真(默認),則read和read-string將評估#=後面的表達式。當*print-dup*被綁定爲true時,您可以看到該功能是如何使用的 - 這意味着您希望以保留其精確類型的方式打印值,在這種情況下,您會看到一些使用#=符號打印的值。 *print-dup*的默認值是錯誤的 - 對於標準Clojure符號的大部分情況都是好的。例如,我們通常不關心整數和長整數之間的區別。
的*read-eval*功能是加載代碼是有用的,但不可信的輸入使用時,它會創建一個安全風險。在Clojure 1.5之前的通常建議是在處理用戶輸入時綁定*read-eval*錯誤。但是,閱讀可能導致問題的Java對象仍然存在一些問題。這在Clojure 1.5中得到了修復。更重要的是,Clojure 1.5推出了clojure.edn/read和clojure.edn/read-string,它們不支持任何*read-eval*功能。它們可以安全地讀取用戶輸入,代表EDN格式定義的常見Clojure值。有關更多信息,請參閱http://edn-format.org。
相關問題
- 1. 將變量分配給null做什麼?
- 2. Perl的$ *變量用來做什麼?
- 3. tensorflow變量聲明點做什麼?
- 4. 什麼是「: - 」在變量聲明中做什麼?
- 5. 在java中命名變量的做法。爲什麼類變量不包變量
- 6. 如果變量=數字,做X,別的什麼也不做
- 7. SQL變量,怎麼做?
- 8. 在Perl中做什麼=〜做什麼?
- 9. 無論我做什麼,這個變量拒絕改變值
- 10. 「as_text_trimmed」做什麼?
- 11. respond_to做什麼?
- 12. WPF能做什麼和不做什麼?
- 13. 什麼是變量?
- 14. 爲什麼變量不變?
- 15. 用變量做變量?
- 16. 編譯器在將float變量轉換爲整型變量時會做什麼?
- 17. 什麼是流量?什麼是`initialize`在做什麼?
- 18. 什麼是「變量=變量|| {}」在JavaScript
- 19. 爲什麼變量=變量+1工作?
- 20. 變量變量:什麼時候有用?
- 21. 什麼是這種變量$變量
- 22. 變量++和變量是什麼意思?
- 23. AVEncoderAudioQualityKey做什麼?
- 24. vxTas在做什麼?
- 25. setFetchBatchSize做什麼?
- 26. 變量定義在C++的控制結構中做什麼?
- 27. 簡單的堆程序 - 這個變量做什麼
- 28. 在聲明for循環變量時,mut&mut會做什麼嗎?
- 29. Rails:不能將變量傳遞給partial,我做錯了什麼?
- 30. 當沒有變量名時,splat操作符會做什麼?
感謝您解釋@dAni!這非常有幫助。 – murtaza52
'eval'會混淆人。重點是#=後面的表達式在'* read-eval *'爲真時評估。不需要使用eval。 – miner49r