Gegeben dieser JavaScript-Code (der nur ein Kommentar ist, der sich auf eine URL bezieht):
%Vor%JSLint mit "Sicheres Subset" aktiviert wird sagen
%Vor%Wie kann ein Kommentar gefährlich sein? Kommentare werden per Definition nicht analysiert! Oder sind sie?
Bearbeiten: Die Verwendung einer anderen URL ist nicht unbedingt gefährlich. Zum Beispiel:
%Vor%löst das Flag nicht aus. Wie kann eine URL in einem Kommentar "gefährlich" sein, eine andere jedoch nicht?
"Dangerous" Kommentare stimmen mit dem regulären Ausdruck überein:
%Vor%In diesem Fall ist Ihr Kommentar "gefährlich", weil er die Zeichenfolge "script" enthält.
Ich denke, das ist wahrscheinlich ein falsches positives Ergebnis.
Sie können Kommentare manuell mit eval :
Um alle Module zu einer einzigen Ressource zu kombinieren, haben wir jedes Modul geschrieben in ein separates Skript-Tag und versteckte den Code in einem Kommentarblock (/ * * /). Wenn die Ressource zum ersten Mal geladen wird, wird der Code nicht analysiert, da er auskommentiert ist. Um ein Modul zu laden, suchen Sie das DOM-Element für das Entsprechendes Script-Tag, entfernen Sie den Kommentarblock und eval () the Code.
Außerdem könnte jemand versehentlich den gefährlichen Code auskommentieren und eine Sicherheitslücke erzeugen.
Standardmäßig werden keine JavaScript-Kommentare analysiert. Aber es gibt keine schöne Sache, herumliegen zu haben.
Tags und Links javascript jslint