添加 `lay.options()` 方法使用的安全提示注释

1 year ago · be5c58ef6f
1 changed files with 71 additions and 67 deletions
--- a/src/modules/lay.js
+++ b/src/modules/lay.js
@ -417,6 +417,10 @@
    var attrValue = othis.attr(attrName);

    try {
+      /**
+       * 请注意: 开发者在使用 lay-options="{}" 配置组件选项时，需确保属性值不来自于网页用户,
+       * 即属性值必须在网页开发者自身的可控范围内，否则请勿在 HTML 标签属性中获取组件选项。
+       */
      return new Function('return '+ (attrValue || '{}'))();
    } catch(ev) {
      layui.hint().error(opts.errorText || [