0
對於在服務器上執行的代碼可能存在哪些不可預見的問題感到好奇。或者如果有任何非eval替代品。如果在服務器(nodeJS)上運行此JavaScript代碼,安全性或不安全性如何?
var a = {b:1, c:2, d:3, e:[1,2,3]};
(function(path) { return eval('this'+path) }).call(a, '.e[2]');
A
回答
1
鑑於path是一個靜態值(".e[2]")和a沒有任何惡意存取左右,並沒有什麼不安全這裏,除了它是完全沒有必要的。
但是,如果path確實來自客戶端或其他不可信任的來源,那麼將它傳遞給eval是您可以做的最糟糕的事情。它可以完成JS代碼在節點中可以完成的任何事情 - 這足以嚴重傷害你。
+0
comments表示'path'是從客戶端傳入的值,因此遠離靜態或安全。 –
+0
@ NeilSmithline:謝謝,這個問題沒有提到。更新了我的答案。 – Bergi
+0
是的,我最終用'lodash' 3.9。*的'_.get()'來完成我所需要的功能。 –
相關問題
- 1. Debian服務器安全性
- 2. 此JavaScript代碼安全嗎?
- 3. 網站安全性與服務器安全性有多大?
- 4. 此cURL代碼的安全性
- 5. WCF WebService安全性:如何在WebService上使用安全性?
- 6. 在java中安全運行javascript代碼
- 7. .NET Web服務安全性
- 8. 在WebLogic上使用SSL安全性運行JAX-WS服務
- 9. PHP的代碼安全性
- 10. Android apk安全性如何安全
- 11. 安全問題,如果Java在服務器上評估Javascript
- 12. 生產服務器上的「aspnet_regiis -i」安全性如何?
- 13. 流星方法的安全性,同時允許服務器也運行代碼
- 14. 安全性:密碼加密結果取決於服務器嗎?
- 15. CakePHP的安全性如何,我們如何提高安全性?
- 16. Couchbase服務器的訪問安全性
- 17. 使用NodeJS服務器散列文本的安全性
- 18. Javascript代碼安全
- 19. PHP編譯器編碼的代碼安全性如何?
- 20. 真正不安全的代碼性能
- 21. Android如何隱藏代碼中的安全性的服務器URL?
- 22. 此代碼是否安全?
- 23. 如何在安全比賽中使用不安全的代碼?
- 24. 如何安全地在網站上運行用戶代碼?
- 25. 如何使用spring安全性在運行時切換安全模型?
- 26. 彈性搜索如何不安全以及如何提高其安全性?
- 27. 如何在遊戲服務器上安全地保存密碼?
- 28. Symfony2的安全性:在代碼
- 29. https的安全性如何?
- 30. iBeacon安全性如何?
'path'從哪裏來?此外,'return this [path]'工作 – dandavis
'path'出現在客戶端的參數中。 –
你確定這個[路徑]有效嗎? –