문자열로 저장되는 사용자 정의 계산을 허용해야합니다. 수식은 변수를 실제 값으로 대체하여 실행하기 전에 동적으로 구문 분석됩니다.사용자 정의 계산을 안전하게 평가하십시오.
같은 맥락에서 동일한 고객 계정에 속한 사람들 만 잠재적으로 서로에게 악성 코드를 삽입 할 수 있습니다. 동료를 공격하는 불량 직원. 내가 생각할 수있는
예 (I 더있다 확신) :
"{x} * {y} * function() {...}()"
"{x} * {y} * eval(...)"
// replace variables
eval("above input strings")
는 지금이 확보하는 방법에 대한 아이디어를 찾고 있어요. eval()을 처음 실행할 때 위험을 줄이거 나 복잡한 파서를 작성할 필요가없는 대안이 필요한 이유는 무엇입니까?
을가 브라우저에서 실행되는 오프라인 웹 응용 프로그램의뿐만 아니라 포장으로 아파치 코르도바. http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/을 지금 시도하고 있습니다. –
또는 서버 측 문자열 필터링 옵션이 있습니다. –
단순히 계산을 서버 측에서 처리 할 수 없습니까? – SilverlightFox