Discussion :

[ZeroDivide]

Bonsoir � tous,

Je suis actuellement sur un projet web avec des pages relativement interactives, j'utilise donc javascript/ajax (avec jquery).

Jusqu'ici tout fonctionne, mais un probl�me se pose � moi, les �l�ments de la page � mettre � jour d�pendant du r�sultat de la requ�te ajax (trait�e par un script php, mais peu importe), je me retrouve rapidement avec des tas de "spaghetti code" dans mon javascript pour traiter le r�sultat. Et �a, ceymal

Bref, j'envisage plusieurs solutions:
- d�velopper une librairie js qui interpr�te un "pseudocode" renvoy� par le script php (r�utilisable, mais d�veloppement plus long).
- faire renvoyer du js par le script php et proc�der � un eval. Quid de la s�curit�?
- employer une solution existante?


Voila, si quelqu'un � des experiences/suggestion/r�ponses sur le sujet je suis preneur

[Willpower]

[...] (avec jquery) [...] d�velopper une librairie js qui interpr�te [...]

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
$.getScript(url);
// Description: Load a JavaScript file from the server using a GET HTTP request, then execute it.

[ZeroDivide]

Mais c'est fou �a!

Bon � priori �a correspond � un eval et n'est qu'un raccourci syntaxique, donc la question reste pos�e niveau s�curit�, c'est safe d'utiliser cette fonction en mode f�te du slip ou il y a des pr�cautions � prendre/d�conseill�? (hormis ne pas evaluer directement des input utilisateur j'entend )

[Bovino]

Non, �a ne correspond pas � un eval(), au contraire, getScript() cr�e une nouvelle balise script avec comme src l'URL demand�e.

[Willpower]

Non, �a ne correspond pas � un eval(), au contraire, getScript() cr�e une nouvelle balise script avec comme src l'URL demand�e.

�a d�pend des version et des navigateurs, dans certains cas, getScript fera un appel ajax et l'�valuera (soit avec eval, soit en attachant un nouveau script avec le contenu de la r�ponse).

dans le cas de l'appel ajax, ceci aura pour effet de (NICKER TON SITE ET TE FAIRE PERDRE 50% DE VISITEURS ) de ne pas �tre cross-domain.

aussi, il faut savoir que comme pour l'eval il faut savoir qu'attacher un script ne garde pas forc�ment le contexte actuel. exemple tout simple, les scripts greasemonkey (ou extensions.JS sous chrome) utilisent un objet "window" diff�rent de celui de la page. (sous greasemonkey, on peut acc�der � celui de la page via "unsafeWindow" ) mais contiennent par contre l'objet "document" r�el de la page. Ainsi si tu attaches un script au "body" depuis l'une de ces extensions, ton script utilisera un objet "window" diff�rent de celui de ton extension et donc des variables et contexte diff�rent.

@ZeroDivide: pour la s�curit�, effectivement si ton code est g�n�r� en fonction d'une base de donn�e g�n�r�e par les visiteurs, tu auras des risques que ce soit avec eval ou l'ajout d'un script au header. mais de toute mani�re m�me pour les requ�tes ajax, tu ne re�ois qu'un string qui sera converti en objet cot� client .. soit avec json.parse pour la plupart des navigateurs mais ceux qui ne poss�de pas cette m�thode utiliseront un simple "eval" pour reconstruire l'objet json.

[ZeroDivide]

Ok, merci pour ces pr�cisions, je devrais pouvoir m'en tirer