eval을 사용하지 않고 모든 JavaScript 코드의 작은 단락을 실행할 수 있습니다

1957 단어 HTMLJavaScript
좋든 나쁘든 분명히 나쁘지만 그럴 거예요.
안 좋아요.js
var script = document.createElement( 'script' );

script.type = 'text/javascript';
script.innerHTML = "for(var i=0; i< 10; i++){console.log(i);}";

document.querySelector( 'body' ).appendChild(script);

안전성을 잘 몰라서 잘 모르겠지만, 웹소켓 같은 앱을 사용할 때 너무 순진하게 피하면 나쁜 일로 여겨질 것 같다고 예감했다.
추기
CSP를 사용하면 차단될 것 같습니다.@mpyw선생님이 가르쳐 주셨어요.감사합니다.자세한 내용은 채팅창을 보십시오.
그러나 CSP는 내부 스크립트와 외부 스크립트를 불러오는 것을 금지하기 때문에 시스템의 실현에 큰 제한이 있을 수 있다.사용 시 주의
참고 자료: CSP(Content Security Policy)를 홈 페이지에 임포트했습니다.

좋은 웹페이지 즐겨찾기