Мне вот интересно, а чего eval все так не любят,

типа не безопасно, но что мешает его ввести в консоли? Что там небезопасного, если через него только данные на сервер не обрабатывают?

а зачем в консоли эвал, если в консоль ты и так код вводишь?

Пойди и загугли, эта тема объяснена и обсосана уже 10 триллионов раз.

Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальных просто не найдут.

Ну чем еваловый кулькулятор опасен? Фронт выполняется на стороне клиента, это все так же в консоль напрямую вбить можно

да, не так написал. по сути консоль тот же евал. просто не пойму, чего его прям как в ГП боятся даже называть, если данные на сервак не делаешь с ним

Эвал просто необходим в двух особенных проектах на бэке

Ну, я не о том, я про то, что при слове евал сразу АААА ЕВАЛ НЕ БЕЗОПАСНО ТЫШО НИЗЯ

в эвал можно захреначить майнинг битколенов, вместо 2+2 на onblur

как? как ты его для всех включишь?

Я где-то сказал, что eval для хоммейд калькулятора это опасно? Я сказал, что это глупо. Если ты хочешь сделать свой калькулятор — делай, получится интересный проект. Сможешь даже выложить и показать кому-то. Будет солидно и интересно Если ты хочешь сделать свой калькульятор на eval — это бесполезная трата времени, да еще и с использованием сверх-небезопасной функции.

просто так было написано в "javascript для чайников"

обычно в хсс и дело: вот тебе код на деньги

я вообще-то изначально писал про него в целом, а не тебе ответил

Сори. Но мыль остается той же

ну xss это работа с беком уже, там надо в любом случае чекать на лишний прилет данных

ну, допустим какой-нибудь нерадивый банк csrf не чекает. пихаешь какой-нибудь fetch(“bank.com/sendmoney?to=vasya&amount=99999”) и деньги васе улетают т.к. юзер не разлогинился в банке

евал тут не причем ж

эвал тут - самый простой способ сделать что угодно

все равно спорно, чтобы везде при его упоминании сразу варнинг алертить. Понятно, что лучше в нем не писать ибо каша будет, но в остальном сам прикинь как евал опасен, мне кажется приувеличивают. xss и без eval закинуть можно закинув подгрузку скрипта с другого сайта через xss или разу код в тег созданный кинуть

так ты его везде и не используешь

мне вообще не доводилось им пользоваться, но просто сама реакция на него постоянно удивляет, при том аргумент постоянно за безопасность

тема обмусолена тысячу раз, ты просто повторяешь одно и то же. я тебе выше уже привёл доводы, почему так

Никакая другая функция не опасна настолько, насколько опасен eval. Каждый раз, когда ты пишешь eval, тебе надо мини-аудит безопасности проводить, а потом поддерживать этот аудит при каждом изменении в коде. И проебаться тут ОЧЕНЬ легко. Намного проще, чем тебе кажетсяю Обычно это просто не стоит никаких рисков.

ну, может другой взгляд увижу от тех, кто отвечает :с все равно пока суп варю и скучно

аргумент один - "я так прочитал в книге js для чайников, там пиздеть не будут, поэтому при виде Е-слова я буду выёбываться, типа я умный и я заню, что его нельзя юзать"

опять же, какая безопасность? что мешает в консоль вбить что "кулхакер" кинул бы в этот евал в коде?

То, что консоль доступна только у тебя локально?

тыж в курсе, что когда ты заходишь на сайт, тебе js так же на комп качает и ты менять его так же можешь и так же только для себя?

Я в курсе

Ты что хочешь донести? Что на своем компе в своей песочнице можно писать что угодно?

тогда как евал нарушит безопасность в этом плане? чел если что-то поменяет в нем, то только для себя, как и в консоли

Никак не нарушит, я об этом в первом же сообщении написал

ну так я спрашиваю за то, что кричат, что это не безопасно // ненавижу с телефона писать, мисскликаю :с

Не безопасно, потому что многократно повышает риск инъекций

если ты напишешь калькулятор через eval, и сделаешь подстановку значения из url, при этом сделаешь выполнение выражения сразу при загрузке страницы, то это позволит поместить вредоносный код в такой url и при переходе по нему можно будет украсть куки 😱

ну разве что такой кейс, это да. забыл про гет параметры через js

Во та теперь представь какое еще кол-во кейсов ты забыл. И каждый из них потенциальная дыра, наличие которой тебе теперь надо каждый раз проверять

следовательно калькуляторы это зло, не пользуйтесь ими. если у вас в доме есть старый калькулятор, немедленно сожгите его

это уже слишком толсто

а когда абсолютно то же самое пишут про евал, опираясь на точно такие же доказательства, это не толсто?

какие “такие”? Домашний калькулятор и eval это утрирование