今天在网上瞎逛又看到了一个不错的东西。
有些程序员如果没有很好的在javascript中解析json数据,往往会直接eval把json转成js对象,这时候如果json的数据中包含了被注入的恶意数据,则可能导致代码注入的问题。
正确的做法是分割出json里包含的特殊字符,然后再解析为对象
http://json.org/json2.js 中是通过正则来完成的。
目前不少写的好的框架和js解析函数都取用了这种做法。
所以,以后千万别直接eval了。
今天在网上瞎逛又看到了一个不错的东西。
有些程序员如果没有很好的在javascript中解析json数据,往往会直接eval把json转成js对象,这时候如果json的数据中包含了被注入的恶意数据,则可能导致代码注入的问题。
正确的做法是分割出json里包含的特殊字符,然后再解析为对象
http://json.org/json2.js 中是通过正则来完成的。
目前不少写的好的框架和js解析函数都取用了这种做法。
所以,以后千万别直接eval了。