当一个方法被$ SAFE = 4的线程调用时,该方法以相同的$ SAFE级别运行:
def test_method
raise "value of $SAFE inside the method: #{$SAFE}"
end
t = Thread.new{$SAFE = 4; self.test_method}; t.join
=> RuntimeError: value of $SAFE inside the method: 4
但是,当调用一个块时,它似乎使用原始上下文中的$ SAFE:
test_lambda = lambda do
raise "value of $SAFE inside the lambda: #{$SAFE}"
end
t = Thread.new{$SAFE = 4; test_lambda.call}; t.join
=> RuntimeError: value of $SAFE inside the lambda: 0
有人能解释为什么会这样吗?这似乎是一个安全问题。
(我使用raise代替puts的原因是puts在$ SAFE = 4时不起作用)
这可用于在看似安全的环境中评估受污染的字符串:
test_lambda = lambda{|s| puts "Tainted: #{s.tainted?}"; eval s}
t = Thread.new{$SAFE = 4; test_lambda.call("puts `date`")}; t.join
=> Tainted: true
=> Fri Mar 30 03:15:33 UTC 2012
答案 0 :(得分:5)
这是因为lambda以其定义的范围运行(包括所有局部变量!)
因此,您将lambda定义为安全级别0,因此它在调用时在该级别执行,因为这就是变量的状态。