Tom_Xor
@Tom_Xor
I scriptease in JavaScript

Функция eval на стороне клиента абсолютно безопасна?

На стороне клиента пользователь ведь даже без eval может изменять скрипты любым образом.
  • Вопрос задан
  • 191 просмотр
Решения вопроса 2
DevMan
@DevMan Куратор тега JavaScript
ну может и что?
у себя в браузере клиент может творить что угодно. а верить этому или нет - уже ваша забота. которая от браузера не зависит.
Ответ написан
@abberati
frontend-разработчик
Нет. Почитайте про XSS. При такой атаке злоумышленник помещает свой код под видом контента в базе данных приложения. Жертва, загружая страницу с контентом, получает вредоносный код, который силами разработчика приложения исполняется через eval. А этот код уже может отправлять куда-нибудь токены, геопозицию, данные на свой подготовленный сервер.

Проблема не в том, что юзер может исполнить любой код в своём браузере. Проблема в том, что один юзер может исполнить свой код в браузере другого юзера, для чего eval подходит как нельзя лучше.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы