我们想让我们的用户能够在我们的应用程序中执行自己创建的 JavaScript 代码。为此,我们需要使用 eval 来评估代码。为了将所有安全问题降至最低(如果不是零),我们的想法是防止在代码中使用任何 window 或 document 函数。所以没有 XMLHttpRequest 或类似的东西。
这是代码:
function secure_eval(s) {
var ret;
(function(){
var copyXMLHttpRequest = XMLHttpRequest; // save orginal function in copy
XMLHttpRequest = undefined; // make orignal function unavailable
(function() {
var copyXMLHttpRequest; // prevent access to copy
try {
ret = eval(s)
} catch(e) {
console.log("syntax error or illegal function used");
}
}())
XMLHttpRequest = copyXMLHttpRequest; // restore original function
}())
return ret;
}
工作原理如下:
secure_eval('new XMLHttpRequest()'); // ==> "illegal function used"
现在我有几个问题:
eval 安全的正确方法吗?window 和 document 的哪些功能被认为是有害的?window 的所有( native )功能,但我无法枚举它们:例如,这没有列出 XMLHttpRequest:
for( var x in window) {
if( window[x] instanceof Function) {
console.log(x);
}
}
有没有办法得到window和document的所有原生函数的列表?
编辑:
我的一个想法是在 Worker 中执行 eval 并阻止访问 XMLHttpRequest 和 document.createElement(见我上面的解决方案)。这将(在我看来)产生以下后果:
文档窗口你看到这里有什么缺点或漏洞吗?
编辑 2:
同时我找到了this question哪个答案解决了我的许多问题以及一些我什至没有想到的事情(即浏览器死锁 "while(true){}"。
最佳答案
您的代码实际上并没有阻止使用 XMLHttpRequest。我可以使用这些方法实例化一个 XMLHttpRequest 对象:
secure_eval("secure_eval = eval"); // Yep, this completely overwrites secure_eval.
secure_eval("XMLHttpRequest()");
或者:
secure_eval("new (window.open().XMLHttpRequest)()")
或者:
secure_eval("new (document.getElementById('frame').contentWindow.XMLHttpRequest)()")
这第三种方法依赖于页面 HTML 中存在的 iframe,有人可以通过在浏览器中操作 DOM 来添加它。我时不时地使用 Greasemonkey 进行此类操作,以消除烦恼或修复损坏的 GUI。
这花了我大约 5 分钟的时间才弄明白,而且我绝不是安全大师。这些只是我能够快速找到的漏洞,可能还有其他我不知道的漏洞。这里的教训是,通过 eval 保护代码真的很难。
好的,所以使用 Worker 来运行代码将处理上面的第 2 和第 3 种情况,因为在 Worker 中没有可访问的窗口。而且...嗯...第一种情况可以通过在其范围内隐藏 secure_eval 来处理。故事结局?如果只是...
如果我将 secure_eval 放入 web worker 并运行以下代码,我可以重新获取 XMLHttpRequest:
secure_eval("var old_log = console.log; console.log = function () { foo = XMLHttpRequest; old_log.apply(this, arguments); };");
console.log("blah");
console.log(secure_eval("foo"));
原理是重写在secure_eval 之外使用的函数,通过将其分配给将被故意泄露的变量来捕获XMLHttpRequest到worker的全局空间,等待secure_eval外的worker使用该函数,然后获取保存的值。上面的第一个 console.log 模拟在 secure_eval 之外使用被篡改的函数,第二个 console.log 显示该值已被捕获。我使用了 console.log 因为为什么不呢?但实际上,全局空间中的任何函数都可以这样修改。
实际上,为什么要等到 worker 可能会使用我们篡改的某些功能?这是访问 XMLHttpRequest 的另一种更好、更快的方法:
secure_eval("setTimeout(function () { console.log(XMLHttpRequest);}, 0);");
即使在 worker 中(使用原始 console.log),这也会将 XMLHttpRequest 的实际值输出到控制台。我还会注意到传递给 setTimeout 的函数中 this 的值是全局范围对象(即 window 当不在 worker 中时,或 worker 中的 self),不受任何变量阴影的影响。
解决方案如何here ?好多了,但在 Chrome 38 中运行时仍然存在漏洞:
makeWorkerExecuteSomeCode('event.target.XMLHttpRequest',
function (answer) { console.log( answer ); });
这将显示:
function XMLHttpRequest() { [native code] }
再说一遍,我不是一心想制造麻烦的安全专家或骇客。可能还有更多我没有考虑的方法。
关于javascript - 保护 JavaScript eval 函数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26482268/
我想在一个没有Sass引擎的类中使用Sass颜色函数。我已经在项目中使用了sassgem,所以我认为搭载会像以下一样简单:classRectangleincludeSass::Script::FunctionsdefcolorSass::Script::Color.new([0x82,0x39,0x06])enddefrender#hamlengineexecutedwithcontextofself#sothatwithintemlateicouldcall#%stop{offset:'0%',stop:{color:lighten(color)}}endend更新:参见上面的#re
我正在尝试用ruby中的gsub函数替换字符串中的某些单词,但有时效果很好,在某些情况下会出现此错误?这种格式有什么问题吗NoMethodError(undefinedmethod`gsub!'fornil:NilClass):模型.rbclassTest"replacethisID1",WAY=>"replacethisID2andID3",DELTA=>"replacethisID4"}end另一个模型.rbclassCheck 最佳答案 啊,我找到了!gsub!是一个非常奇怪的方法。首先,它替换了字符串,所以它实际上修改了
我有一些代码在几个不同的位置之一运行:作为具有调试输出的命令行工具,作为不接受任何输出的更大程序的一部分,以及在Rails环境中。有时我需要根据代码的位置对代码进行细微的更改,我意识到以下样式似乎可行:print"Testingnestedfunctionsdefined\n"CLI=trueifCLIdeftest_printprint"CommandLineVersion\n"endelsedeftest_printprint"ReleaseVersion\n"endendtest_print()这导致:TestingnestedfunctionsdefinedCommandLin
如何在Ruby中按名称传递函数?(我使用Ruby才几个小时,所以我还在想办法。)nums=[1,2,3,4]#Thisworks,butismoreverbosethanI'dlikenums.eachdo|i|putsiend#InJS,Icouldjustdosomethinglike:#nums.forEach(console.log)#InF#,itwouldbesomethinglike:#List.iternums(printf"%A")#InRuby,IwishIcoulddosomethinglike:nums.eachputs在Ruby中能不能做到类似的简洁?我可以只
说在前面这部分我本来是合为一篇来写的,因为目的是一样的,都是通过独立按键来控制LED闪灭本质上是起到开关的作用,即调用函数和中断函数。但是写一篇太累了,我还是决定分为两篇写,这篇是调用函数篇。在本篇中你主要看到这些东西!!!1.调用函数的方法(主要讲语法和格式)2.独立按键如何控制LED亮灭3.程序中的一些细节(软件消抖等)1.调用函数的方法思路还是比较清晰地,就是通过按下按键来控制LED闪灭,即每按下一次,LED取反一次。重要的是,把按键与LED联系在一起。我打算用K1来作为开关,看了一下开发板原理图,K1连接的是单片机的P31口,当按下K1时,P31是与GND相连的,也就是说,当我按下去时
我需要一个通过输入字符串进行计算的方法,像这样function="(a/b)*100"a=25b=50function.something>>50有什么方法吗? 最佳答案 您可以使用instance_eval:function="(a/b)*100"a=25.0b=50instance_evalfunction#=>50.0请注意,使用eval本质上是不安全的,尤其是当您使用外部输入时,因为它可能包含注入(inject)的恶意代码。另请注意,a设置为25.0而不是25,因为如果它是整数a/b将导致0(整数)。
我遇到了一个非常奇怪的问题,我很难解决。在我看来,我有一个与data-remote="true"和data-method="delete"的链接。当我单击该链接时,我可以看到对我的Rails服务器的DELETE请求。返回的JS代码会更改此链接的属性,其中包括href和data-method。再次单击此链接后,我的服务器收到了对新href的请求,但使用的是旧的data-method,即使我已将其从DELETE到POST(它仍然发送一个DELETE请求)。但是,如果我刷新页面,HTML与"new"HTML相同(随返回的JS发生变化),但它实际上发送了正确的请求类型。这就是这个问题令我困惑的
我需要从json记录中获取一些值并像下面这样提取curr_json_doc['title']['genre'].map{|s|s['name']}.join(',')但对于某些记录,curr_json_doc['title']['genre']可以为空。所以我想对map和join()使用try函数。我试过如下curr_json_doc['title']['genre'].try(:map,{|s|s['name']}).try(:join,(','))但是没用。 最佳答案 你没有正确传递block。block被传递给参数括号外的方法
在这段Ruby代码中:ModuleMClassC当我尝试运行时出现“'M:Module'的未定义方法'helper'”错误c=M::C.new("world")c.work但直接从另一个类调用M::helper("world")工作正常。类不能调用在定义它们的同一模块中定义的模块函数吗?除了将类移出模块外,还有其他解决方法吗? 最佳答案 为了调用M::helper,你需要将它定义为defself.helper;结束为了进行比较,请查看以下修改后的代码段中的helper和helper2moduleMclassC
也许这听起来很荒谬,但我想知道这对Ruby是否可行?基本上我有一个功能...defadda,bc=a+breturncend我希望能够将“+”或其他运算符(例如“-”)传递给函数,这样它就类似于...defsuma,b,operatorc=aoperatorbreturncend这可能吗? 最佳答案 两种可能性:以方法/算子名作为符号:defsuma,b,operatora.send(operator,b)endsum42,23,:+或者更通用的解决方案:采取一个block:defsuma,byielda,bendsum42,23,