Javascript 在执行从ajax调用返回的js时避免eval
我想进行一个ajax调用,该调用将返回一个json对象。这个JSON对象的属性之一是要在客户机中执行的函数的字符串。我意识到使用eval很容易解决这个问题,但是看到eval的优点,我宁愿避免它。我的问题是: 我是否可以从服务器返回一些js代码,并在不使用eval的情况下执行它 根据要求,以下是一些示例代码: 服务器(Node.js): 客户:Javascript 在执行从ajax调用返回的js时避免eval,javascript,Javascript,我想进行一个ajax调用,该调用将返回一个json对象。这个JSON对象的属性之一是要在客户机中执行的函数的字符串。我意识到使用eval很容易解决这个问题,但是看到eval的优点,我宁愿避免它。我的问题是: 我是否可以从服务器返回一些js代码,并在不使用eval的情况下执行它 根据要求,以下是一些示例代码: 服务器(Node.js): 客户: $(document).ready(function() { $.ajax({ url: '/testPack',
$(document).ready(function() {
$.ajax({
url: '/testPack',
success: function(data) {
$('body').append($(data.template))
alert(data.data.id);
var entity = eval(data.entity);
entity();
}
})
})
如果您返回一个字符串,那么它就是:一个字符串。没有
eval最简单的方法不是通过ajax调用服务器,而是在页面上创建一个新的脚本标记,url指向一个RESTful web服务,该服务将输出纯JavaScript(而不是JSON)。这样,您的输出将由浏览器直接评估,而无需使用eval 我想对我的答案做一点扩展: 要解决在全局上下文中运行脚本的问题,可以使用一些技巧。例如,当您将脚本标记添加到头部时,可以将onload事件(或者更确切地说是伪onload事件,因为IE不支持脚本标记上的onload)绑定到头部,并且如果来自服务器的响应将始终包装在具有已知名称的函数中,则可以从对象中应用该函数。下面的示例代码(这只是一个示例): 服务器响应应如下所示:
function serverResponse()
{
alert(this.name);
}
window.callMe();
function serverResponse()
{
this.serverJSONString = { "testVar1": "1", "testVar2": 2 };
function Test()
{
alert("From the server");
}
Test();
}
window.callMe();
请不要按原样使用此代码,因为我没有花太多时间编写它。这很难看,但仅仅是一个例子:-)下面是一个例子,我认为这是如何工作的
jsoncd是的,有一种方法,但它的缺点与
eval函数new Function(code)();
你可以使用谷歌在谷歌图表上的技巧
<html>
<head>
<script>
function onWorkDone(data) {
console.log(data);
}
</script>
<script src="callback.js"></script>
</head>
</html>
doWorkonWorkDone现在,如果黑客隐藏在中间某个地方,从服务器获取数据,将代码修改为那些功能非常糟糕的东西,并将其发送到客户端,然后客户端浏览器获取数据并执行代码。瞧!坏事发生了。更糟糕的是:你(在服务器端)永远不会知道你的客户端被黑客攻击了
这称为“脚本注入攻击”,是一种严重的安全风险 因此,规则是:永远不要执行从服务器返回的函数 仅从服务器传递数据 如果你只接受datfunction serverResponse()
{
this.serverJSONString = { "testVar1": "1", "testVar2": 2 };
function Test()
{
alert("From the server");
}
Test();
}
window.callMe();
// This function is a child of the window object
window.winScopedFunction = function() {
alert("ROCK THE WIN");
}
// This function is a child of another object
var myObject = {
myFunction : function() {
alert("ROCK ON");
}
};
// pretend that this json object was the result of an ajax call.
var jsonResultFromServer= {
a : 1,
b : 2,
c : "myFunction",
d : "winScopedFunction"
};
// you can call the local functions like so
myObject[jsonResultFromServer.c]();
window[jsonResultFromServer.d]();
new Function(code)();
<html>
<head>
<script>
function onWorkDone(data) {
console.log(data);
}
</script>
<script src="callback.js"></script>
</head>
</html>
function doWork(callback) {
callback({result: 'foo'});
}
doWork(onWorkDone);
$functions=array(
'showMessage' => 'function(msg){ alert(msg); }',
'confirmAction' => 'function(action){
return confirm("Are you sure you want to "+action+"?");
}',
'getName' => 'function getName(){
return prompt("What is your name?");
}'
);
$queried = explode($_REQUEST['f']);
echo 'var FuncUtils = {'; // begin javascript object
$counter=1;
foreach($functions as $name=>$function){
if(in_array($counter, $queried))
echo '"'.$name.'":,'.$function.',';
$counter++;
}
echo '"dummy":null };'; // end javascript object
{
"action" : ['confirmAction','exit']
}
$(document).ready(function(){
$.getScript('functions.js.php?f=1,3');
});
function onBeforeExit(){
$.getJSON('data5.json', function(data) {
var func = data.action.shift();
FuncUtils[func].apply(null, data.action);
});
}