0
Что делает WinJS.strictProcessing()?Что делает WinJS.strictProcessing()?
объяснение MSDN не является очень полезным - http://msdn.microsoft.com/en-us/library/windows/apps/hh987021.aspx
A
ответ
2
Включается функция безопасности. Сценарий таков:
- App загрузка HTML из Интернета (через XHR, например), который включает в себя данные выигрыша-контроль, беспроигрышные-параметры данных или данные-обоюдную привязку атрибуты
- HTML является добавлены к DOM
- WinJS.UI.processAll или WinJS.Binding.processAll называется на этом HTML
- в * данные атрибуты-WIN-функции, указать получить обманным в вызывающей Eval (или что-то столь же зло)
- Приложение пользователя принадлежит
Когда режим strictProcessing включен, из разметки можно вызывать только функции, явно помеченные как безопасные для декларативной обработки. Это уменьшает площадь поверхности функций, которые можно назвать значительно, и уменьшает области вашего приложения, которые должны быть подвергнуты проверке безопасности.
Самое главное, что ни одна из функций WinRT или eval не помечена так, что вы не можете получить загруженный HTML-код для прямого вызова WinRT (раньше, вы могли бы).
Этот режим не был включен по умолчанию в RC, чтобы дать разработчикам время для настройки своего кода до того, как они сломаются, но это поведение, скорее всего, будет включено по умолчанию в RTM.
Смежные вопросы
- 1. что делает logging.basicConfig делает?
- 2. Что делает «&&»?
- 3. Что делает?
- 4. Что делает `? .`?
- 5. Что делает $()?
- 6. Что делает GhostDoc Free, что Visual Studio еще не делает?
- 7. Что делает ключевое слово 'extern', что делает следующий код законным?
- 8. Что делает. оператор делает в matlab?
- 9. Почему это делает то, что делает?
- 10. Что делает dojo.empty()/domConstruct.empty() делает точно
- 11. Что делает exec.skip делает в команде Maven
- 12. что делает cd /./ делает в bash
- 13. Понимание того, что делает запрос и делает?
- 14. C++ STL, что делает базу() делает
- 15. index.js не делает, что index.ts делает
- 16. Что делает & делает в конце команды wc?
- 17. Что делает & делает в этом случае?
- 18. Что делает этот код линия делает
- 19. Что делает .call?
- 20. Что делает «= +» в JavaScript?
- 21. Что делает WT_EXECUTEINUITHREAD?
- 22. Что делает overrideredirect?
- 23. Что делает resultSet.next() do
- 24. Что именно делает document.normalize?
- 25. что SED -i делает
- 26. Что делает grep * делать?
- 27. Что делает Html.HiddenFor?
- 28. Что делает PrintStream заподлицо?
- 29. Что делает «дружественный URL»?
- 30. Что делает hg copy?
если только MSDN был таким четким и лаконичным, как ваш ответ .. спасибо! :) +1 –
И что мешает вредоносному коду определять «myEvilFunction.supportedForProcessing = true;»? – bugventure
Если вредоносный код уже находится в вашем приложении, вы все равно будете pwnded. Это нормально, потому что единственный способ получить его - это положить его туда, когда вы построили пакет. Речь идет о предотвращении загруженного контента, который вы * не * помещали в пакет, из запуска произвольного кода. –