Hallo,

Das Risiko ist, dass man eval() benutzt.

Die Aussage ist so unsinnig wie »Das Risiko ist, dass man JavaScript benutzt«.

Täte man das nicht, gäbe es prinzipiell nicht die Möglichkeit, (ungeprüft) Code von dritter Stelle - egal ob eigener Server oder nicht, ob vertrauenswürdig oder nicht - auszuführen.

Wie gesagt - das script-Element bietet diese Möglichkeit »prinzipiell« auch. Das ist noch lange kein Grunde, gegen das script-Element an sich zu agitieren. Solange ich vertrauenswürdige Scripte von meinem Server einbinde, besteht kein Problem. Man denke nur an JSON: Es ist derzeit ohne native sichere JSON-Implementierungen Unsinn, JSON vom eigenen Server nicht mit eval() auszuführen. Für die Sicherheit muss dann die Serverseite sorgen.

Ich wollte damit darauf hinweisen, dass man eigentlich immer versuchen sollte, ohne eval() auszukommen.

Um strukturierte Daten zu übertragen, gibt es im Grunde nur JSON, und selbst sicheres JSON-Parsing verwendet schließlich eval().

Mathias