js中eval
今天发现这么一个函数eval
eval能够将传入的字符串当做js代码执行
例如处理json(请不要这样使用,正确的做法应该是使用JSON.parse(data)):
let data = '{"nane":"ruben","age":11}'
eval("("+data+")")
image-20220415125619098
console.log(eval('2 + 2'));
// expected output: 4
console.log(eval(new String('2 + 2')));
// expected output: 2 + 2
console.log(eval('2 + 2') === eval('4'));
// expected output: true
console.log(eval('2 + 2') === eval(new String('2 + 2')));
// expected output: false这个eval非常危险,常用于攻击、侵入网站
因此我们要禁止的话,可以根据CSP文档:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
添加一个meta在页面的head中
<meta http-equiv="Content-Security-Policy"
content="default-src 'self' https://*; img-src https://*; child-src 'none';">关键在于default-src属性的设置:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy/default-src
此处由于没有添加default-src 'unsafe-eval';所以提示禁止使用eval
image-20220415141027221
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "default-src 'self' https://*".本文参与?腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-04-15,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读