避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么? 第1页
1
Ivony 网友的相关建议:
可以说对也可以说不对。
对的部分是,这些东西的确是容易产生攻击的薄弱点。
不对的部分是,在实操中,像这样简单粗暴的说某些东西不能用,又不给出完全的替代方案的话,那程序员们就会用更SB,风险更大的方案来代替。最后导致程序不仅像屎一样更容易被攻击还更难看出毛病。
1
相关话题
为何中国的网站普遍不愿意相信用户能把密码管理好?全面普及 HTTPS 有意义吗?
用 Git 一定要用命令行吗?用命令行一定高贵吗?
市售的『USB 键盘记录器』可以记录和窃取账号密码,是什么原理?
黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
斯诺登是卖国贼吗?
网上都说操作真实 DOM 慢,但测试结果却比 React 更快,为什么?
如何看待国内地图行业更新政策商用api每年需支付5w元?
【校招面试】关于Typescript和ES6的对比?
如何评价应届生前端人员月薪要3.3k到13k后,该公司CEO的评价?
下一个讨论
为什么时空的绝对性被抛弃了?
相关的话题
当一个人说自己“精通JavaScript, CSS3, HTML5”时应该如何理解?HTML中的html head body标签有且只能有一个,为什么不可以直接省略?
网络安全培训哪家机构知名度高?
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
Web 建站技术中,HTML、HTML5、XHTML、CSS、SQL、JavaScript、PHP、ASP.NET、Web Services 是什么?
美国国安局对中国使用顶级网络武器证据曝光,其中有哪些细节值得关注?
怎么看待现在的网络安全圈子?
为什么有的程序员哪怕失业交不起房租也不愿意接触黑产?
如何看待react被围攻?技术中立存在吗?
如何看待react被围攻?技术中立存在吗?
为什么现在又流行服务端渲染html?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
如何看待国家网信办拟规定「掌握超过 100 万用户个人信息的运营者赴国外上市须审查」?
XcodeGhost 事件会造成什么影响?
Web 前端密码加密是否有意义?
前端框架Stimulus的使用体验如何?
公司是否能够亦或是否有权截获员工在公司电脑使用https访问网站的内容?如何实现?
ORM 框架能自动防止SQL注入攻击吗?
为什么尤大说react的性能不如vue?
请问一下各位大佬,js的静态方法有啥作用呀,写工具类吗,小菜鸡想不出来静态方法有啥作用?
为什么后端喜欢把「男女」等枚举类型的数据转成 01?
Web 前端密码加密是否有意义?
算法老师劝学生放弃学习 JavaScript,我该怎么办?
Golang、Kotlin、C#、JS、Python等都有协程,市面上的协程有什么本质上的区别?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
为什么现代前端框架放弃了HTML的常规用法?
现在网站越来越难渗透了,渗透测试这个方向还有前途吗?