0
WinJS.strictProcessing()은 무엇을합니까?WinJS.strictProcessing()은 무엇을합니까?
MSDN의 설명은 매우 도움이되지 않습니다 - http://msdn.microsoft.com/en-us/library/windows/apps/hh987021.aspx
A
답변
2
이 보안 기능을 켭니다.
-
데이터 윈 - 제어, 데이터 - 윈 - 옵션, 또는 데이터 - 윈 - 바인딩을 포함한다 (예를 들어, XHR 이상) 웹에서
- 앱 다운로드 HTML 속성
- HTML은 다음과 같습니다 시나리오는 이것이다 DOM에 추가 WinJS.UI.processAll 또는 WinJS.Binding.processAll는
- 데이터 - 윈 * 속성은 호출 평가 속아서되는 함수 (또는 동등 악한 일)
- 를 지정하는 HTML에서 호출됩니다
- 사용자의 앱이 소유 됨
strictProcessing 모드를 설정하면 명시 적으로 안전한 것으로 명시된 함수 만 마크 업에서 호출 할 수 있습니다. 이렇게하면 크게 호출 할 수있는 함수의 표면적이 줄어들고 보안 검토가 필요한 앱 영역이 줄어 듭니다.
가장 중요한 점은 WinRT 또는 eval 함수 중 어느 것도 표시가되어 있지 않으므로 다운로드 한 HTML을 가져 와서 WinRT를 직접 호출 할 수는 없습니다 (이전에 가능).
이 모드는 앱 개발자가 깨지기 전에 코드를 조정할 시간을주기 위해 RC에서는 기본적으로 켜지지 않았지만이 동작은 RTM에서 기본적으로 켜질 가능성이 큽니다.
MSDN이 사용자의 대답과 같이 명확하고 간결한 경우 .. 감사합니다. :) +1 –
악의적 인 코드가 myEvilFunction.supportedForProcessing = true;를 지정하지 못하게하는 이유는 무엇입니까? – bugventure
악의적 인 코드가 이미 앱 패키지 안에있는 경우 어쨌든 pwnded됩니다. 그게 유일한 방법은 패키지를 만들 때 거기에 넣는 것뿐입니다. 이것은 패키지에 넣지 않은 * 다운로드 된 컨텐츠가 임의 코드를 실행하는 것을 막는 것입니다. –