【发布时间】:2015-07-22 23:10:53
【问题描述】:
我从不受信任的人那里收集了大量 Javascript 代码,并且必须将其集成到我的项目中。由于是不受信任的,我想检查它是否没有做一些讨厌的事情。
我主要关心的是代码使用的变量。
要检查它是否正常,我想解析所有代码并验证变量的名称。例如,所有变量都包含在window.sandboxedVariables 中。
是否可以解析 Javascript 代码(任何语言,但最好是 Javascript 或 bash)并获取所有变量的列表?是否可以对导入的库做同样的事情?
是否可以使用 Uglify ?我阅读了一些 API 文档,并没有发现任何具体的内容。
非常感谢!
【问题讨论】:
-
每个上下文存在变量
-
window['ev' + 'al']('sandboxed' + 'Variables = null')呢? -
不受信任的客户端代码无法访问不受信任的令牌或密码。只要您阻止 xss,这怎么可能成为问题?
-
不要使用不受信任的代码......简单的解决方案。
标签: javascript uglifyjs