My<cod/>.net
Выполнение JavaScript из Flex: эта функция javascript опасна?
У меня есть приложение flex, которое нуждается в возможности генерировать и выполнять JavaScript. Когда я говорю это, я имею в виду, что мне нужно выполнить raw JavaScript, который я создаю в своем приложении Flex (а не только существующий метод JavaScript)
В настоящее время я делаю это, раскрывая следующий метод JavaScript:
function doScript(js){ eval(js);}
Затем я могу сделать что-то подобное в Flex (примечание: Я делаю что-то более существенное, чем окно предупреждения в реальном приложении Flex):
ExternalInterface.call("doScript","alert('foo'));
Мой вопрос заключается в том, накладывает ли это какой-либо риск безопасности, я предполагаю, что это не так, поскольку Flex и JasvaScript все работают на стороне клиента...
Есть ли лучший способ сделать это?
Это по сути не является опасным, но в момент, когда вы проходите какие-либо пользовательские данные в функцию, она созрела для инъекций код эксплойта. Это вызывает беспокойство и то, что я бы избежать. Я думаю, что лучшим подходом было бы, чтобы только выставить необходимые функции , и ничего более.
Насколько я знаю, а я определенно не хакер, с тобой все в полном порядке. Действительно, если бы кто-то захотел, они могли бы использовать ваш код на стороне клиента, но я не вижу, как они могли бы использовать ваш код на стороне сервера, используя javascript (если вы не используете серверную сторону javascript)
Помните также,что действия скрипта управляются тегом "AllowScriptAccess" в инструкции. Если веб-страница не хочет этих действий, они не должны разрешать вызов скриптов.
http://kb.adobe.com/selfservice/viewContent.do?externalId=tn_16494