我正在编写一个生成 Javascript 代码的 PHP 库。
Javascript 代码有许多名为component001, component002, etc.
页面通过 AJAX 动态加载。
我需要通过 URL 变量传递组件的名称,然后由脚本进行 evaled() 。
我保护正在评估的内容的唯一方法是使用正则表达式^component[0-9]{3}$:如果通过,则会进行评估,否则不会。
对我来说,这是 100% 安全的,因为除非它只是我已知组件之一的名称,或者有关于eval()可以在此代码示例中利用的命令,例如正则表达式注入,某种跨站点脚本等?
window.onload = function() {
// *** DEFINED IN ANOTHER JAVASCRIPT FILE:
var component001 = 'testing111';
var component002 = 'testing222';
var component003 = 'testing333';
var APP = {};
APP.getUrlVars = function() {
var vars = [], hash;
var hashes = window.location.href.slice(window.location.href.indexOf('?') + 1).split('&');
for(var i = 0; i < hashes.length; i++) {
hash = hashes[i].split('=');
vars.push(hash[0]);
vars[hash[0]] = hash[1];
}
return vars;
}
APP.getUrlVar = function(name, defaultValue) {
defaultValue = (typeof defaultValue == 'undefined') ? '' : defaultValue;
var vars = APP.getUrlVars();
if(vars[name] === undefined)
{
return defaultValue;
} else {
return vars[name];
}
}
APP.safeEval = function(nameOfComponent) {
var REGEX_VALID_NAME = /^component[0-9]{3}$/;
if(REGEX_VALID_NAME.test(nameOfComponent)) {
return eval(nameOfComponent);
} else {
return 'ERROR';
}
}
// *** JAVASCRIPT FILE LOADED VIA AJAX:
var nameOfComponentToDisplay = APP.getUrlVar('compname', 'component001');
var component = APP.safeEval(nameOfComponentToDisplay);
document.write(component);
}
使用理由几乎为零eval我认为这不是其中之一。请记住,所有对象的行为都类似于字典,因此您可以简单地执行以下操作:
var components = {
component001 : 'testing111',
component002 : 'testing222',
component003 : 'testing333'
};
APP.safeEval = function(nameOfComponent) {
var result = components[nameOfComponent];
if(result) {
return result;
} else {
return 'ERROR';
}
}
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
