¿Cuáles son las posibles consecuencias de evaluar las opiniones de los usuarios con JavaScript del lado del cliente?

Navega tus respuestas
1

Tengo un sitio web en el que un usuario ingresa una ecuación de línea (como y = 2x + 5 ) y les muestra la ecuación.

Actualmente, para trazar la ecuación simplemente estoy ejecutando eval() en la cadena de entrada, como esto: 

for (x = 0; x < max; x++) {
  y = eval(equation)
  values.push([x, y]);
}

¿Hay alguna implicación de seguridad junto con esto? Los resultados no se almacenan en ningún lugar de mi servidor ni se muestran a otros usuarios, por lo tanto, ¿es lo mismo que alguien escribe un comando en el indicador de comandos o podría hacer algo más?

    
pregunta Tim 24.11.2016 - 05:16
fuente

1 respuesta

1

El eval no puede causar nada inusualmente o excepcionalmente malo para el servidor. El servidor debe estar protegido de los datos arbitrarios que se le envían desde clientes HTTP (S) potencialmente maliciosos de todos modos. Sin embargo, se puede abusar fácilmente de eval para desfigurar temporalmente el sitio (solo en el navegador del usuario). Es posible que desee implementar algún tipo de filtrado en el eval para protegerse contra tales bromas.

    
respondido por el DepressedDaniel 24.11.2016 - 05:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo limitar la información (metadatos) que se envía a Google desde un teléfono Android? ¿Consecuencia de usar SSH cuando ha cambiado la huella digital?