Что происходит с script -targeted URL-адресами?
Я использую JSHint, и он получил следующую ошибку:
Script URL.
Что я заметил, это произошло потому, что на этой конкретной строке есть строка, содержащая javascript:... URL.
Я знаю, что JSHint жаловался, что, поскольку параметр scripturl установлен, и поскольку моя кодовая база довольно велика, мне придется ее отключить на данный момент.
Тем не менее, я не понимаю, в чем проблема использования script URL-адресов?
Ответы
Ответ 1
javascript: URL-адреса являются частью "eval is evil".
Чтобы выполнить URL javascript:, браузер должен запустить парсер JS и проанализировать текст URL.
Это медленный и дорогостоящий процесс.
Кроме того, сборка javascript: URL (или других строк, содержащих исходный код) представляет собой сложную задачу, которая подвержена уязвимости XSS.
Наконец, код смешения и URL-адреса нарушают разделение содержимого и поведения (кода).
