私はちょうどeval()
機能を使用して悪いと私はコードインジェクション攻撃(ポスト:Why is using the JavaScript eval function a bad idea?)の脆弱性が1つの理由を発見使用して研究していた。Javascriptのコードインジェクションを知っているのはなぜですか?
私の質問は、私たちは必ずjavascriptのコードインジェクションについて心配する必要がありますか?なぜなら、ユーザーがWebサイトのJSスクリプトを実行したいのであれば、コンソールで実行することができます。
だから、誰かが自分のコードを自分のJavaScriptコードに挿入することができれば、それは何をする可能性がありますか?以下キョウチクトウの答えに基づいて
EDIT
我々はAJAX呼び出しを通じてブラウザとサーバ間の通信を持っているとき、私は、脆弱性の一つの方法を発見しました。それは完璧な意味合いがあります。しかし、私は、ブラウザでのみ動作し、バックエンドとの通信を持たないJavascriptプログラムを持っているかもしれません。例えば、電卓やシンプルゲームです。ここで私の補足的な質問は、これらのプログラムも脆弱にする他の理由はありますか?
コードの注入は、ユーザー以外の人が行った場合に有害です。 'eval'の引数を制御するのはあなたのユーザだけですか? – Bergi
私はjavascriptについて話しているときに、フォーム内の入力のみを変更できるユーザーである必要があります。私は他の方法についてはわかりません。これ以上の例はありますか? –
@ TareqMahmood私は一例を掲示しました – Oleander