代码之家 › 专栏 › 技术社区 › Tricotou

$.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?

security google-chrome node.js jquery javascript

Tricotou · 技术社区 · 2 年前

我在调试我的NodeJS应用程序时发现了一个巨大的事实:使用jQuery

$.get(code_url)

哪里 code_url 是指向服务器上javascript代码的URL, 确实执行代码 .

预期是:

$.get("script.js", function(data) {
    // data contains the content of 'script.js' as a string
    // We can choose either to :
    // - Append it to the DOM
    // - Evaluate it using eval()
    // - Store it for later use
});

但是,即使在回调中什么都不做,代码也确实被执行了。

我试图用几行代码重新创建一个几乎是空的服务器,以确保它不是来自我的项目。即使总共有十几行,我也可以复制。

NodeJS服务器:

const express = require('express');
const App = express();
App.use(express.static('www'));
App.listen(5000);

index.js(由index.html执行)

$(document).ready(function() {
    $.get("utils.js")
});

utils.js(在中用作静态 www/ 由服务器)

console.log("Hello World");
let a=1000;
console.log(Math.PI*a);

和BOOM,执行代码:

注意:问题似乎只发生在本地服务器上,但我仍然认为这是一个相当严重的问题。我只是无法在不实时执行的情况下下载任何代码。。。拜托。我发现一个巨大的jQuery错误了吗?

测试时间

jQuery 3.6.3和3.7.1
谷歌浏览器(版本123.0.6312.1122(官方版本)(64位))
Linux Ubuntu 22.04

2 回复 | 直到 2 年前

Barmar 2 年前

服务器必须返回 Content-type: text/javascript 头球

如果您没有指定 dataType 的论点 $.get() ,jQuery从Content-type标头推断类型。 text/javascript 对应于 dataType = "script" 。从 documentation :

“script”:将响应求值为JavaScript,并以纯文本形式返回。

换句话说, $.get("script.js") 实际上相当于 $.getScript("script.js")

如果要在不进行求值的情况下检索源代码,请指定 text dataType显式:

$.get("script.js", "text");

Tricotou 2 年前

@Pointy给出的答案:

$(document).ready(function() {
    $.get("utils.js", function(data){
        
    }, "text/plain")
});

阻止代码执行

推荐文章

code-geek · Jquery根据单选按钮选择隐藏或显示文本字段

1 年前

Niobos · 如何/是否有方法使通用算法函数同时与同步和异步函数一起工作?

1 年前

Alex · 在轻量级中同时解构和不解构变量

1 年前

Ângelo Rigo · ReactJS映射:如何迭代[关闭]

1 年前

bairog · 从按属性筛选的对象数组字典中创建值数组

1 年前

KaiMcKiernan · 基于Math.random()的函数在另一个函数内不起作用[关闭]

1 年前

David Jeong · 浏览器不会为浏览器自动添加的某些标头发送CORS预检请求吗?

1 年前

user29519291 · 为不同的变量创建一个带有可重用Click函数的简单菜单

1 年前

user3472810 · Angular@Output/EventEmitter返回undefined

1 年前

lokiuucx · JS对象属性返回未定义,尽管对象属性应该有值

1 年前