Unikanie błędów JavaScript związanych z zabezpieczeniami

Dostęp kodu wykonywanego w obszarze izolowanym aplikacji jest ograniczony dla większości operacji, które dotyczą interpretacji i wykonania ciągów znaków po uruchomieniu zdarzenia load dokumentu i zakończenia działania dowolnego modułu obsługi zdarzeń load . Próba użycia poniższych typów instrukcji JavaScript, które interpretują i wykonują potencjalnie niebezpieczne ciągi znaków generują błędy JavaScript:

• eval(), funkcja

• setTimeout() i setInterval()

• Konstruktor funkcji

  Ponadto poniższe typy instrukcji JavaScript zakończą się niepowodzeniem bez generowania niebezpiecznego błędu JavaScript:

• Adresy URL javascript:

• Wywołania zwrotne zdarzenia przypisane za pomocą atrybutu onevent w instrukcjach innerHTML i outerHTML

• Ładowanie plików JavaScript spoza katalogu instalacyjnego aplikacji

• document.write() i document.writeln()

• Synchroniczne XMLHttpRequests przed zdarzeniem load lub w czasie działania modułu obsługi zdarzenia load

• Dynamicznie utworzone elementy skryptu

  Uwaga: W niektórych ograniczonych przypadkach obliczenie wartości dla ciągów znaków jest dozwolone. (Więcej informacji zawiera sekcja Ograniczenia kodu dotyczące treści różnych obszarów izolowanych ).

  Na stronie http://www.adobe.com/go/airappsandboxframeworks_pl firma Adobe przechowuje listę środowisk AJAX, które obsługują obszary izolowane aplikacji.

  Poniższe sekcje wyjaśniają w jaki sposób ponownie napisać skrypty, aby uniknąć niebezpiecznych błędów JavaScript i cichych błędów dla kodu działającego w obszarze izolowanym aplikacji.

W większości przypadków programista może ponownie napisać lub zmienić strukturę aplikacji w celu uniknięcia błędów JavaScript związanych z bezpieczeństwem. Jeśli jednak ponowne napisanie lub zmiana struktury nie jest możliwa, treść aplikacji można załadować do innego obszaru izolowanego za pomocą techniki opisanej w sekcji Wczytywanie zawartości aplikacji do obszaru izolowanego niezwiązanego z aplikacjami . Jeśli treść również musi mieć dostęp do interfejsów API środowiska AIR, należy wówczas utworzyć most obszaru izolowanego w sposób opisany w sekcji Konfigurowanie interfejsu mostu obszaru izolowanego .

W obszarze izolowanym aplikacji funkcja eval() może być używana jedynie przed zdarzeniem load strony lub w czasie działania modułu obsługi zdarzeń load . Po załadowaniu strony wywołanie funkcji eval() nie spowoduje wykonania kodu. Jednak w poniższych przypadkach można ponownie napisać kod, aby uniknąć użycia funkcji eval() .

Zamiast przekształcać ciąg znaków w celu utworzenia akcesora właściwości:

eval("obj." + propName + " = " + val);

do dostępu do właściwości należy użyć notacji z nawiasami:

obj[propName] = val;

Zastąp instrukcje w następujący sposób:

function compile(var1, var2){ 
    eval("var fn = function(){ this."+var1+"(var2) }"); 
    return fn; 
}

na:

function compile(var1, var2){ 
    var self = this; 
    return function(){ self[var1](var2) }; 
}

Rozważmy hipotetyczną klasę JavaScript zdefiniowaną za pomocą poniższego kodu:

var CustomClass =  
    { 
        Utils: 
        { 
            Parser: function(){ alert('constructor') } 
        }, 
        Data:  
        { 
         
        } 
    }; 
var constructorClassName = "CustomClass.Utils.Parser";

Najprostszym sposobem na utworzenie instancji będzie użycie funkcji eval() :

var myObj; 
eval('myObj=new ' + constructorClassName +'()')

Można jednak uniknąć wywołania funkcji eval() przez przekształcenie każdego składnika o danej nazwie klasy i utworzenie nowego obiektu za pomocą notacji z nawiasami:

function getter(str) 
{ 
    var obj = window; 
    var names = str.split('.'); 
    for(var i=0;i<names.length;i++){ 
        if(typeof obj[names[i]]=='undefined'){ 
            var undefstring = names[0]; 
            for(var j=1;j<=i;j++) 
                undefstring+="."+names[j]; 
            throw new Error(undefstring+" is undefined"); 
        } 
        obj = obj[names[i]]; 
    } 
    return obj; 
}

Aby utworzyć instancję, użyj:

try{ 
    var Parser = getter(constructorClassName); 
    var a = new Parser(); 
    }catch(e){ 
        alert(e); 
}

Zastąp ciąg znaków przekazany jako funkcja modułu obsługi odwołaniem funkcji lub obiektem. Na przykład: zastąp instrukcję:

setTimeout("alert('Timeout')", 100);

na:

setTimeout(function(){alert('Timeout')}, 100); 

Lub jeśli funkcja wymaga, aby obiekt this był ustawiony przez obiekt wywołujący, zastąp instrukcję:

this.appTimer = setInterval("obj.customFunction();", 100);

na następującą:

var _self = this; 
this.appTimer = setInterval(function(){obj.customFunction.apply(_self);}, 100);

Wywołanie new Function(param, body) można zastąpić dołączoną deklaracją funkcji lub użyć go wyłącznie przed obsługą zdarzenia load strony.

Kod zdefiniowany w łączu za pomocą schematu URL javascript: jest ignorowany w obszarze izolowanym aplikacji. Nie jest generowany żaden niebezpieczny błąd JavaScript. Łącza można zastąpić za pomocą adresów URL javascript: w sposób przedstawiony poniżej:

<a href="javascript:code()">Click Me</a>

na:

<a href="#" onclick="code()">Click Me</a>

Korzystając z instrukcji innerHTML lub outerHTML do dodawania elementów do modelu DOM dokumentu, dowolne wywołania zwrotne zdarzenia przypisanego w instrukcji (np. onclick lub onmouseover ) zostaną zignorowane. Nie zostanie wygenerowany żaden błąd dotyczący zabezpieczeń. Zamiast tego można przypisać atrybut id do nowych elementów i ustawić funkcje wywołania zwrotnego dla modułu obsługi zdarzeń za pomocą metody addEventListener() .

Na przykład: dany element docelowy w dokumencie:

<div id="container"></div>

Zastępuje instrukcje:

document.getElementById('container').innerHTML =  
    '<a href="#" onclick="code()">Click Me.</a>';

na:

document.getElementById('container').innerHTML = '<a href="#" id="smith">Click Me.</a>'; 
document.getElementById('smith').addEventListener("click", function() { code(); });

Ładowanie plików skryptu spoza obszaru izolowanego aplikacji jest niedozwolone. Nie zostanie wygenerowany żaden błąd dotyczący bezpieczeństwa. Wszystkie pliki skryptu, które uruchamiane są w obszarze izolowanym aplikacji, muszą być zainstalowane w katalogu aplikacji. Aby użyć zewnętrznych skryptów na stronie, należy odwzorować stronę w innym obszarze izolowanym. Patrz Wczytywanie zawartości aplikacji do obszaru izolowanego niezwiązanego z aplikacjami .

Wywołania metod document.write() lub document.writeln() są ignorowane po obsłużeniu zdarzenia load strony. Nie zostanie wygenerowany żaden błąd dotyczący zabezpieczeń. Alternatywnym rozwiązaniem jest załadowanie nowego pliku lub zastąpienie treści dokumentu przy pomocy technik manipulowania DOM.

Synchroniczne XMLHttpRequests zainicjowane przed zdarzeniem load strony lub w czasie działania modułu obsługi zdarzeń load nie zwracają żadnej treści. Asynchroniczne XMLHttpRequests można zainicjować, ale nie zwrócą żadnej treści dopóki nie zostanie zakończone zdarzenie load . Po obsłużeniu zdarzenia load synchroniczne XMLHttpRequests działają zwyczajnie.

Dynamicznie utworzone elementy skryptu, np. elementy utworzone z właściwością innerHTML lub za pomocą metody document.createElement() , są ignorowane.