这样安全吗?或者这会容易受到代码注入的攻击?
$scope.placeholder = function(value, def) {
var val = eval("$rootScope.master.user." + value);
if (val) {
return val;
} else {
return def;
}
};
我使用了括号表示法,但我意识到如果我在下面的例子中传入Address.addr1这样的对象,我就不能了:
<input type="email" ng-model="user.email" placeholder="{{placeholder('email', 'Email...')}}" /><br/>
<input type="text" ng-model="user.Address.addr1" placeholder="{{placeholder('Address.addr1', 'Addr. Line 1...')}}" />
我想这可能会回答我的问题,但我不确定:在输入中使用javascript eval()进行简单计算是否安全?
有什么原因不能这样做吗?正如克莱斯所说,你的问题确实有XY问题的味道:
<input type="email" ng-model="user.email"
placeholder="{{ user.email || 'Email...'}}" /><br/>
<input type="text" ng-model="user.Address.addr1"
placeholder="{{ user.Address.addr1 || 'Addr. Line 1...'}}" />
或者更好的是,问题仍然是你为什么要这么做。占位符只有在字段为空时才有任何用途,所以只需提供一个静态值:
<input type="email" ng-model="user.email" placeholder="Email..." /><br/>
<input type="text" ng-model="user.Address.addr1" placeholder="Addr. Line 1..." />
您可以简单地使用括号表示法。
var val = $rootScope.master.user[value];
你肯定不需要eval。您应该阅读为什么使用JavaScript eval函数是个坏主意?