【发布时间】:2010-11-04 09:32:55
【问题描述】:
假设我的 javascript 发出 ajax 请求,并在回调函数中执行 eval(response_text) 而不检查 response_text 的任何内容。
有些事情告诉我这不好,但为什么以及如何会被剥削?不会总是我的服务器会向它发送好的数据吗?
【问题讨论】:
-
你不应该遵循这种做法...发回一些可以帮助你决定在客户端运行什么代码的东西,而不是代码本身。
标签: ajax security web-applications xss csrf