今天在網上瞎逛又看到了一個不錯的東西。
有些程式員如果沒有很好的在javascript中解析json資料,往往會直接eval把json轉成js對象,這時候如果json的資料中包含了被注入的惡意資料,則可能導緻代碼注入的問題。
正确的做法是分割出json裡包含的特殊字元,然後再解析為對象
http://json.org/json2.js 中是通過正則來完成的。
目前不少寫的好的架構和js解析函數都取用了這種做法。
是以,以後千萬别直接eval了。
今天在網上瞎逛又看到了一個不錯的東西。
有些程式員如果沒有很好的在javascript中解析json資料,往往會直接eval把json轉成js對象,這時候如果json的資料中包含了被注入的惡意資料,則可能導緻代碼注入的問題。
正确的做法是分割出json裡包含的特殊字元,然後再解析為對象
http://json.org/json2.js 中是通過正則來完成的。
目前不少寫的好的架構和js解析函數都取用了這種做法。
是以,以後千萬别直接eval了。