避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么? 第1页
1
Ivony 网友的相关建议:
可以说对也可以说不对。
对的部分是,这些东西的确是容易产生攻击的薄弱点。
不对的部分是,在实操中,像这样简单粗暴的说某些东西不能用,又不给出完全的替代方案的话,那程序员们就会用更SB,风险更大的方案来代替。最后导致程序不仅像屎一样更容易被攻击还更难看出毛病。
1
相关话题
重要信息发到了一个错误的邮箱里,如何挽救?如何看待黑客组织 Anonymous 声称将大规模攻击中国政府网站的事?
当一个人说自己“精通JavaScript, CSS3, HTML5”时应该如何理解?
react让我怀疑自己没有当程序员的天分怎么破?
用ASP.NET开发的网站是不是安全性很差?
请教一个https安全问题?
XML在数据传输哪些方面会比JSON有优势,在哪些领域更加适合?
「杀毒软件之父」75 岁约翰·迈克菲死于西班牙监狱中,他做出了哪些贡献,如何评价他的一生?
为什么 JS 不能绕过后端代码直接调数据库,有哪些后端处理的逻辑,JS 不能写?
ES6 await为什么建议用try...catch捕获错误?
下一个讨论
为什么时空的绝对性被抛弃了?
相关的话题
WanaCry 病毒事件(永恒之蓝攻击事件)的始作俑者如果被抓了会受什么惩罚?为什么有的高级程序员很讨厌甚至禁止使用 setTimeout?
fetch 的优势在哪里? 为什么有人会在前端项目中用 fetch?
不断拉人进群又不行骗是为什么?
登录知乎时,账号密码是明文传送的,安全吗?
如何成为安全架构师?
前端开发的难点到底在什么地方?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
如何评价小米在隐私安全上的贡献?
如何看待360杀毒在AV-C等评测机构的测试中因作弊被谴责后发布的公关文?
React.js有哪些设计缺陷?
当年黑掉腾讯的「朽木事件」是指什么?
私人网站能看到用户的密码吗?
为什么有的高级程序员很讨厌甚至禁止使用 setTimeout?
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?
红芯浏览器真的自带了假的证书用以监控 HTTPS 内容吗?
你是如何学会正则表达式的?
如何绕过知乎对 Bookmarklet 跨域添加的 <script> 的限制?
能够用WordPress仿造apple、魅族官网吗?
为什么前端老觉得后端简单?
电脑需不需要有杀毒软件呢?
如何评价阿里的新开源飞冰(ICE)?
如何绕过知乎对 Bookmarklet 跨域添加的 <script> 的限制?
微信朋友圈能分享有颜色文字算是bug吗?
大四程序员选择去大公司还是小公司?
有哪些网络安全上的事实,没有一定安全知识的人不会相信?
软件测试和网络安全哪个好就业?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
是什么阻碍了代码的重用?问题是否应该只解决一次即可?
如何对付背后阴人的龌龊小人?