我需要允許用戶定義的計算,它們以字符串形式存儲。公式在執行之前通過用實際值替換變量來動態分析。安全評估用戶定義的計算
在這種情況下,只有屬於同一個客戶帳戶的人可能會相互注入惡意代碼,一個流氓員工攻擊同事,這已經夠糟糕了。
例子我能想到的(我敢肯定有更多):
"{x} * {y} * function() {...}()"
"{x} * {y} * eval(...)"
// replace variables
eval("above input strings")
現在我正在尋找如何確保這一想法。需要降低運行eval()的風險,還是需要編寫複雜解析器的替代方案?
在這種情況下,它在瀏覽器中運行的離線Web應用程序以及包裹在Apache科爾多瓦。立即嘗試http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/。 –
或者我可以選擇服務器端的字符串過濾。 –
不能簡單地處理服務器端的計算? – SilverlightFox