Javascript, AJAX, eval et sécurité [Résolu]

[ZeroDivide]

Bonsoir à tous,

Je suis actuellement sur un projet web avec des pages relativement interactives, j'utilise donc javascript/ajax (avec jquery).

Jusqu'ici tout fonctionne, mais un problème se pose à moi, les éléments de la page à mettre à jour dépendant du résultat de la requête ajax (traitée par un script php, mais peu importe), je me retrouve rapidement avec des tas de "spaghetti code" dans mon javascript pour traiter le résultat. Et ça, ceymal

Bref, j'envisage plusieurs solutions:
- développer une librairie js qui interprète un "pseudocode" renvoyé par le script php (réutilisable, mais développement plus long).
- faire renvoyer du js par le script php et procéder à un eval. Quid de la sécurité?
- employer une solution existante?


Voila, si quelqu'un à des experiences/suggestion/réponses sur le sujet je suis preneur

[Willpower]

Citation:

Envoyé par ZeroDivide

[...] (avec jquery) [...] développer une librairie js qui interprète [...]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$.getScript(url);
// Description: Load a JavaScript file from the server using a GET HTTP request, then execute it.

[ZeroDivide]

Mais c'est fou ça!

Bon à priori ça correspond à un eval et n'est qu'un raccourci syntaxique, donc la question reste posée niveau sécurité, c'est safe d'utiliser cette fonction en mode fête du slip ou il y a des précautions à prendre/déconseillé? (hormis ne pas evaluer directement des input utilisateur j'entend )

[Bovino]

Non, ça ne correspond pas à un eval(), au contraire, getScript() crée une nouvelle balise script avec comme src l'URL demandée.

[Willpower]

Citation:

Envoyé par Bovino

Non, ça ne correspond pas à un eval(), au contraire, getScript() crée une nouvelle balise script avec comme src l'URL demandée.

ça dépend des version et des navigateurs, dans certains cas, getScript fera un appel ajax et l'évaluera (soit avec eval, soit en attachant un nouveau script avec le contenu de la réponse).

dans le cas de l'appel ajax, ceci aura pour effet de (NICKER TON SITE ET TE FAIRE PERDRE 50% DE VISITEURS ) de ne pas être cross-domain.

aussi, il faut savoir que comme pour l'eval il faut savoir qu'attacher un script ne garde pas forcément le contexte actuel. exemple tout simple, les scripts greasemonkey (ou extensions.JS sous chrome) utilisent un objet "window" différent de celui de la page. (sous greasemonkey, on peut accèder à celui de la page via "unsafeWindow" ) mais contiennent par contre l'objet "document" réel de la page. Ainsi si tu attaches un script au "body" depuis l'une de ces extensions, ton script utilisera un objet "window" différent de celui de ton extension et donc des variables et contexte différent.

@ZeroDivide: pour la sécurité, effectivement si ton code est généré en fonction d'une base de donnée générée par les visiteurs, tu auras des risques que ce soit avec eval ou l'ajout d'un script au header. mais de toute manière même pour les requêtes ajax, tu ne reçois qu'un string qui sera converti en objet coté client .. soit avec json.parse pour la plupart des navigateurs mais ceux qui ne possède pas cette méthode utiliseront un simple "eval" pour reconstruire l'objet json.

[ZeroDivide]

Ok, merci pour ces précisions, je devrais pouvoir m'en tirer