Pit*_*taJ 5 javascript eval
假设没有可用于修改某人计算机的浏览器端安全漏洞,我不明白使用如何eval导致任何真正的威胁.
eval
有人可以解释这是怎么可能的.有人可以在用户的计算机上显示某些内容,但如果没有重定向或接受下载,则无法实现真正的伤害.不会造成服务器端损坏,对吗?
Ani*_*han 3
当你移交 JavaScript 的控制权时,有害的不仅仅是它的执行。使用 Ajax,您可以将flash 对象、pdf 或Java小程序加载到当前页面本身。这将不会显示任何对话框,并且您将调用插件(它们比浏览器本身拥有更多的权限)。
因此,从理论上讲,它可能会造成与插件本身允许的一样多的损害,这通常是相当大的。
归档时间:
12 年,7 月 前
查看次数:
508 次
最近记录:
11 年,7 月 前