Bezpieczne korzystanie z eval () na kod JavaScript wysyłany przez serwer
Używam Node.js i Socket.io. Napisałem aplikację, która może wysyłać fragmenty JavaScript z serwera i wykonywać je na kliencie. JavaScript jest wysyłany przez Secure WebSocket (WSS), a klient ma słuchacza, który wykona dowolny kod przekazany do niego przez serwer.
Ten krótki skrypt demonstruje zasadę:http://jsfiddle.net/KMURe/ i możesz myśleć o funkcji onScript jako słuchaczu gniazd.
PytanieJakie protokoły bezpieczeństwa mogę wprowadzić, aby ta transakcja była bezpieczna? Czy bezpieczny kanał Websocket utrudni stronie trzeciej działanie jako pośrednik (zmiana kodu przed wysłaniem go do klienta)?
Niektóre przypadki użycia ..Dynamicznie przydzielane obliczenia rozproszone.Klient przeglądarki może dynamicznie uczyć się z serwera.Aktualizuj zachowanie przeglądarki jednocześnie.