Question

Я хочу предоставить посетителям моих веб-страниц доступ к текстовой области, где они могут написать небольшой кусочек JavaScript для настройки определенных функций.

Представьте, что javascript выглядит примерно так:

{
макс: 100;
allowFeedback ложь;
filterEnabled: true;
}

Я хотел бы проверить, что они пишут, и тогда мой javascript сделает что-то в зависимости от вашего выбора:

так что это будет:

var userCode = document.getElementById ("textarea"). Value;
var result = eval (userCode);
.. if (result.filterEnabled) {...}
if (result.allowFeedback) {...} ...

Вопрос: пользователь действительно мог набрать там любой javascript? что-то злое, что-то не так Что я могу сделать, чтобы проверить его код перед выполнением?

Большое спасибо

Satya Prakash · Answer 1 · 23 сентября 2010

Прочтите эту статью о JSON и безопасности. Там также присутствуют код и пример - Разбор JSON с использованием JSON Parser или eval ()! . Это должно быть полезно для вас.

Praveen Kumar Patidar · Answer 2 · 12 февраля 2013

У меня был подобный вид использования давно. Это может показаться детским ответом, но перед оценкой вы можете разобрать символы, такие как <> и. специально. ТАК, что контент больше не будет действительной программой. В основном сценарии содержат точки и <>, которые можно отфильтровать для оценки. или заменены некоторыми другими персонажами.

Simone Margaritelli · Answer 3 · 15 апреля 2010

Прочитайте это на CSRF ... не очень хорошая идея, чтобы оценить любой пользовательский ввод, поверьте мне.

rook · Answer 4 · 15 апреля 2010

Код, который вы разместили, уязвим для XOM на основе DOM , и все правила для использования XSS по-прежнему применяются. Не часто уязвимости можно найти в JavaScript, но это хороший пример. Я бы не использовал этот код. Если вы действительно хотите эту функцию, вы должны поместить ее в свой собственный домен, который не имеет сеансов / аутентификации / чего-либо ценного.

Arkku · Answer 5 · 15 апреля 2010

Если вы eval пишете, они действительно могут написать и запустить любой javascript, который вы могли бы написать в месте вызова eval. Я бы предложил разрешить только очень ограниченный синтаксис (например, variable=value, с ограниченным набором разрешенных переменных и значений), а затем проанализировать его.

Редактировать: если доступно, вы также можете использовать JSON-анализатор для JavaScript вместо eval, например. JSON.parse.

поле ввода для размещения javascript / json и проблемы безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

поле ввода для размещения javascript / json и проблемы безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов