Javascript 为什么eval()不安全;现代浏览器上的用户不会运行任何对其进行评估的内容吗?
我读到了eval()的安全含义,但是有一点我不明白。想象一下最坏的情况,eval()正在编译一个输入框。黑客可以在上面键入任何内容,然后它就会运行,但在现代浏览器中,例如:Chrome,他不能在控制台上执行完全相同的操作吗?当然,但用户的目标不是窃取自己的数据 危险在于其他人成功地将恶意代码带到了他知道用户页面上会发生评估的地方 利用这种问题进行的攻击称为Javascript 为什么eval()不安全;现代浏览器上的用户不会运行任何对其进行评估的内容吗?,javascript,eval,Javascript,Eval,我读到了eval()的安全含义,但是有一点我不明白。想象一下最坏的情况,eval()正在编译一个输入框。黑客可以在上面键入任何内容,然后它就会运行,但在现代浏览器中,例如:Chrome,他不能在控制台上执行完全相同的操作吗?当然,但用户的目标不是窃取自己的数据 危险在于其他人成功地将恶意代码带到了他知道用户页面上会发生评估的地方 利用这种问题进行的攻击称为 另一个类似的安全问题是直接附加可能包含脚本标记的HTML。例如,如果您在实现论坛时这样做,并且允许用户不受任何限制地编写HTML,他们可以在
另一个类似的安全问题是直接附加可能包含脚本标记的HTML。例如,如果您在实现论坛时这样做,并且允许用户不受任何限制地编写HTML,他们可以在其他用户的页面中执行脚本标记。关于某人执行
eval(来自ajax请求的内容)evalevaleval(location.hash)