避免与安全相关的 JavaScript 错误

一旦触发文档 load 事件并退出所有 load 事件处理函数，将限制应用程序沙箱中执行的代码执行涉及计算和执行字符串的大多数操作。如果尝试使用以下类型的可计算和执行潜在不安全字符串的 JavaScript 语句，则会生成 JavaScript 错误：

• eval() 函数

• setTimeout() 和 setInterval()

• Function 构造函数

  此外，以下类型的 JavaScript 语句也会失败，但不会生成不安全的 JavaScript 错误：

• javascript: URL

• innerHTML 和 outerHTML 语句中通过 onevent 属性分配的事件回调

• 从应用程序安装目录外部加载 JavaScript 文件

• document.write() 和 document.writeln()

• load 事件之前或 load 事件处理函数中的同步 XMLHttpRequests

• 动态创建的脚本元素

  注： 在某些受限制的情况下，允许执行字符串运算。有关详细信息，请参阅对不同沙箱中的内容的代码限制。

  Adobe 维护了一个已知的支持应用程序安全沙箱的 Ajax 框架列表，可以通过 http://www.adobe.com/go/airappsandboxframeworks_cn 访问该列表。

  以下部分介绍了如何针对应用程序沙箱中运行的代码改写脚本，以避免这些不安全的 JavaScript 错误和无提示失败。

在大多数情况下，可以改写或重构应用程序以避免与安全相关的 JavaScript 错误。但是，如果无法进行改写或重构，则可以采用将应用程序内容加载到非应用程序沙箱中介绍的技术将应用程序内容加载到其他沙箱。如果该内容还必须访问 AIR API，则可以按照设置沙箱桥接口中的说明创建一个沙箱桥。

在应用程序沙箱中，eval() 函数只能用在页面 load 事件之前或用在 load 事件处理函数中。在页面加载之后，调用 eval() 将不会执行代码。但是，在下面的情况中，可以通过改写代码来避免使用 eval()。

不再通过分析字符串来构建属性存取器：

eval("obj." + propName + " = " + val);

而是使用中括号记号来访问属性：

obj[propName] = val;

将如下所示的语句：

function compile(var1, var2){ 
    eval("var fn = function(){ this."+var1+"(var2) }"); 
    return fn; 
}

替换为：

function compile(var1, var2){ 
    var self = this; 
    return function(){ self[var1](var2) }; 
}

假设有一个 JavaScript 类，其代码定义如下：

var CustomClass =  
    { 
        Utils: 
        { 
            Parser: function(){ alert('constructor') } 
        }, 
        Data:  
        { 
         
        } 
    }; 
var constructorClassName = "CustomClass.Utils.Parser";

最简单的实例创建方法是使用 eval()：

var myObj; 
eval('myObj=new ' + constructorClassName +'()')

但是，通过分析类名称的各个部分并使用中括号记号构建新对象，可以避免调用 eval()：

function getter(str) 
{ 
    var obj = window; 
    var names = str.split('.'); 
    for(var i=0;i<names.length;i++){ 
        if(typeof obj[names[i]]=='undefined'){ 
            var undefstring = names[0]; 
            for(var j=1;j<=i;j++) 
                undefstring+="."+names[j]; 
            throw new Error(undefstring+" is undefined"); 
        } 
        obj = obj[names[i]]; 
    } 
    return obj; 
}

若要创建实例，可使用：

try{ 
    var Parser = getter(constructorClassName); 
    var a = new Parser(); 
    }catch(e){ 
        alert(e); 
}

将作为处理函数传递的字符串替换为函数引用或对象。例如，将以下语句：

setTimeout("alert('Timeout')", 100);

替换为：

setTimeout(function(){alert('Timeout')}, 100); 

或者，如果函数要求 this 对象由调用方设置，则将以下语句：

this.appTimer = setInterval("obj.customFunction();", 100);

替换为：

var _self = this; 
this.appTimer = setInterval(function(){obj.customFunction.apply(_self);}, 100);

对 new Function(param, body) 的调用可以替换为内联函数声明或仅在处理页面 load 事件之前使用。

在应用程序沙箱中，将忽略在使用 javascript: URL 方案的链接中定义的代码。不会生成任何不安全的 JavaScript 错误。可以将如下所示的使用 javascript: URL 的链接：

<a href="javascript:code()">Click Me</a>

替换为：

<a href="#" onclick="code()">Click Me</a>

使用 innerHTML 或 outerHTML 向文档的 DOM 中添加元素时，将忽略在语句内分配的任何事件回调（如 onclick 或 onmouseover）。不会生成任何安全错误。可以改为向新元素分配 id 属性，并使用 addEventListener() 方法设置事件处理函数回调函数。

例如，在文档中给定一个目标元素，如下所示：

<div id="container"></div>

将如下所示的语句：

document.getElementById('container').innerHTML =  
    '<a href="#" onclick="code()">Click Me.</a>';

替换为：

document.getElementById('container').innerHTML = '<a href="#" id="smith">Click Me.</a>'; 
document.getElementById('smith').addEventListener("click", function() { code(); });

不允许从应用程序沙箱外部加载脚本文件。不会生成任何安全错误。在应用程序沙箱中运行的所有脚本文件都必须安装在应用程序目录中。若要在页面中使用外部脚本，必须将页面映射到其他沙箱。请参阅将应用程序内容加载到非应用程序沙箱。

如果页面 load 事件已处理完毕，则将忽略对 document.write() 或 document.writeln() 的调用。不会生成任何安全错误。作为一种替代方法，可以加载新文件，或者使用 DOM 操作技术替换文档的正文。

在页面 load 事件之前或在 load 事件处理函数中启动的同步 XMLHttpRequests 不会返回任何内容。可以启动异步 XMLHttpRequests，但在 load 事件之前不会返回内容。在处理 load 事件之后，同步 XMLHttpRequests 才能正常工作。

动态创建的脚本元素（例如，使用 innerHTML 或 document.createElement() 方法创建的元素）将被忽略。