Het schakelt een beveiligingsfunctie in. Het scenario is dit:
- App downloadt HTML van internet (bijvoorbeeld via XHR) die data-win-controle, data-win-opties of data-win-bind attributen bevat
- De HTML wordt toegevoegd aan de DOM
- WinJS.UI.processAll of WinJS.Binding.processAll wordt aangeroepen op die HTML
- De data-win- * attributen specificeren functies die in de val gelopen worden om eval te roepen (of iets dat even slecht is)
- De app van de gebruiker is eigendom
Wanneer de strictProcessing-modus is ingeschakeld, kunnen alleen functies die expliciet zijn gemarkeerd als veilig voor declaratieve verwerking worden aangeroepen vanuit de opmaak. Dit verkleint het oppervlak van functies die aanzienlijk kunnen worden aangeroepen, en vermindert de delen van uw app die moeten worden beoordeeld voor beveiliging.
Het belangrijkste is dat geen van de WinRT- of de eval-functie zo is gemarkeerd, dus je kunt geen gedownloade HTML downloaden om de WinRT rechtstreeks te bellen (voorheen zou dat kunnen).
Deze modus is standaard niet ingeschakeld in RC om app-ontwikkelaars de tijd te geven hun code aan te passen voordat ze worden verbroken, maar dit gedrag is waarschijnlijk standaard ingeschakeld in RTM.