我在XSS领域挖了一点,在javascript中找到了有趣的东西:
eval(\`// alert(document.cookie)\`)
没有按预期做任何事,但是
eval(\`// \r alert(document.cookie)\`)
弹出警报,使用令牌... \r char消除评论并开始执行脚本
这是预期的吗?我认为这是一个问题...
此致 叶夫
答案 0 :(得分:0)
这是预期的行为。
\r是回车。它开始了新的一条线。
//是一个行注释,它只会注释掉它所在的行。
这不仅仅是eval的安全问题。如果你使用它,你必须了解你给它的输入。