2
我正在寫一個簡單的庫,它將從給定字符串屬性的對象讀取值。在JS對象中注入自執行函數作爲值
是否可以讀取屬性,但有一個函數可以執行而不實際調用該函數?
類似:
var obj = {
fn : (function malicious(){ deleteLotsOfFiles();
})()
}
,如果我做
var foo = obj.fn;
是有辦法通過閱讀財產執行(惡意)的功能?
A
回答
1
甚至在引用它之前,惡意函數已經執行了。一旦函數被引擎解析,它就會立即執行(自我調用)。
2
var obj = {
get fn() { deleteLotsOfFiles(); }
};
// later
var o = obj; // deleteLotsOfFiles has not been executed
console.log(o.fn); // you just deleted lots of files
1
一種替代
var o = Object.defineProperty(o, 'baz', {
get: function(){
console.log("Delete Everything!");
}
});
然後訪問o.baz並且它們被從MDN
刪除上的吸氣劑
更多信息有時期望的是允許訪問一個返回012的財產動態計算值,或者您可能想要反映內部變量的狀態 而不需要使用明確的方法 調用。
看起來很像你想要做的事情。
相關問題
- 1. 在javascript中自動執行函數作爲對象屬性值
- 2. 在聚合函數之前對ActiveRecord對象執行行操作
- 3. 條件執行後自動執行函數傳遞對象
- 4. 在夢魘中注入javascript函數js
- 5. 如何在函數輸入參數中輸入類型值作爲對象?
- 6. JS - 爲自定義js對象創建用戶定義函數
- 7. 將iOS JS對象注入到WebView中
- 8. C++函數爲地圖對象執行但不改變值
- 9. 對象中的JavaScript函數執行
- 10. 函數名稱作爲對象值
- 11. Android在webview外部js中注入,執行函數併發出警報
- 12. 注入的JavaScript函數不執行
- 13. C++ DLL注入後不執行函數
- 14. 爲什麼從一個自動執行的函數中執行該對象上的函數?
- 15. 如何將動態值從另一個類作爲自動裝配對象注入到構造函數中
- 16. 如何使用自執行匿名函數中的對象?
- 17. 定義對象的原型,在自執行的函數
- 18. 爲函數對象賦值
- 19. 節點js,函數執行
- 20. jQuery函數作爲對象
- 21. js函數將多個參數傳遞作爲單個對象
- 22. 如何將行爲注入到實體框架對象構造函數中?
- 23. 如何在自定義對象中注入對象
- 24. JS函數返回自己/對象,不運行
- 25. 在scala對象中注入
- 26. 更改JS函數對象
- 27. 如何在JS中抽象出一個函數作爲參數?
- 28. 執行未開發對象的函數
- 29. 在JSON中解析字符串js函數作爲js函數
- 30. Dart元素:嵌入JS對象的調用函數對象
您可以使用[MDN:Object.defineProperty()](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Object/defineProperty)爲屬性定義getter。你也可以看看這個問題[如何使用javascript Object.defineProperty](http://stackoverflow.com/questions/18524652/how-to-use-javascript-object-defineproperty) –
爲什麼你不相信你的論點? – Bergi