避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么? 第1页
1
Ivony 网友的相关建议:
可以说对也可以说不对。
对的部分是,这些东西的确是容易产生攻击的薄弱点。
不对的部分是,在实操中,像这样简单粗暴的说某些东西不能用,又不给出完全的替代方案的话,那程序员们就会用更SB,风险更大的方案来代替。最后导致程序不仅像屎一样更容易被攻击还更难看出毛病。
1
相关话题
60岁学前端开发,还有就业前景吗?有什么工具可以下载整个网站的内容吗?
如何看待微软对「永恒之蓝」事件的处理?
如何看待b站up主tom表哥硬刚诈骗团伙的行为?
如何评价「QQ 安全中心」?
5G 的到来会造成编程语言大灭绝进而 JS 一统应用前端吗?
为什么 Java 和 JS 等语言需要 VM,不能直接操作内存堆栈空间?
大一新生如何自学JavaScript?
中国大学里有和前端设计相关的专业吗?
如何制作高质量的(破译用)字典?
下一个讨论
为什么时空的绝对性被抛弃了?
相关的话题
用 HTTP 数据加密和 HTTPS 有什么区别?如何评价阿里的新开源飞冰(ICE)?
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
DOM-based XSS 与存储性 XSS、反射型 XSS 有什么区别?
如何绕过知乎对 Bookmarklet 跨域添加的 <script> 的限制?
如何评价 Vue 在 Github 上的 star 数即将超越 React ?
如何看待云舒离开阿里巴巴?
人工智能已在哪些领域超越了人类的表现?
程序员如何提高安全的编码能力?
普通程序员在未来会变成廉价劳动力(农民工)吗?
独立开发先写前端还是先写后端?
有哪些短小却令人惊叹的 JavaScript 代码?
如何评价 Ant Design 这个项目(一个设计语言)?
框架用比不用的真正优势?
smarty 应该由谁来写?
经常在视频中提到台湾的1450,请问1450是个什么东西?
为什么一直没有出现一个可以把现代 CSS 编译为支持老版本浏览器 CSS 的编译工具?
ActiveX 到底差在哪?
在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ?
用工具的人能称得上的黑客吗?
对于一般程序员来说,怎么防止为了潮流技术 疲于奔命?
全面普及 HTTPS 有意义吗?
前端嫌我接口分的太多,我该怎么回答?
为什么加载 JavaScript 使用 src,加载 CSS 使用 href?
前端做的页面为什么总是跟设计稿差很多?
慕课网收费的视频质量怎么样?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?
先用md5,再用sha1,这样密码会安全一点吗?
做开发你遇到最无理的需求是什么?
若实行网络白名单会是怎样一种机制?