我应该插入一个<脚本>还是应该求值
Should i insert a <script> or should i eval?
我有JavaScript代码在字符串中,我根据某些条件动态获得(某些用户操作的结果)。
现在我想知道我是否应该简单地eval它(将工作,测试),或者我应该在DOM中插入一个<script>,其中包含字符串的值。我很清楚XSS风险部分(脚本绝对不会使用用户输入的任何内容)。想知道由于插入<script>标签而引起的范围相关问题(如果有的话)。
制作脚本元素并插入javascript比eval它没有安全优势。使用eval意味着它可以访问任何局部变量,所以只有当你的 evald代码需要访问局部变量时,作用域才是一个问题。
如果正在求值的代码来自可信源,则没有理由避免eval。如果它是服务器上的数据,并且不包含用户生成的代码,则执行eval。
相关文章:
- 在Asp.net的TextBox中插入所需文本的java脚本代码
- 在另一个脚本后插入Jquery
- 从外部 js 脚本创建元素并插入到 html 中
- 谷歌应用程序脚本:如何修复循环将一个谷歌文档的段落插入另一个
- 从Javascript中调用PHP脚本,将数据插入mysql数据库
- 使用java脚本在html中插入元素
- 插入<脚本>使用jQuery将其转换为iframe
- 使用jquery html()将脚本插入到新窗口中
- 可以't使用php脚本插入ajax数据
- 如何将PHP脚本插入WordPress和HTML网站
- 如何将脚本插入 HTML 元素以对其内容更改做出反应
- jQuery .on() 脚本插入 DOM 时未绑定
- 谷歌脚本 - 插入具有多个范围的工作表
- 将脚本插入加载的 iframe
- 使用谷歌应用程序脚本插入括号和引号
- jQuery:globalEval在脚本插入时被调用
- DOM脚本插入
- Pagedown markdown脚本插入图像url一次
- 无法使用codeehind将脚本插入到asp页面中
- 黑客<脚本>插入页面顶部
