パーパーパーJSONをevalの代わりに使う.
3183 ワード
いくつかのプログラマは、javascriptでJsonデータを解析しないと、直接evalでjsonをjsオブジェクトに変換します.この場合、jsonのデータに注入された悪意のあるデータが含まれていると、コード注入の問題になります.正しいやり方はjsonに含まれる特殊文字を分割して対象とします.
ですから、これからはevalの代わりにパースJSONを使ってください.
1 parseJSON: function( data ) {
2 if ( typeof data !== "string" || !data ) {
3 return null;
4 }
5
6 // Make sure leading/trailing whitespace is removed (IE can't handle it)
7 data = jQuery.trim( data );
8
9 // Make sure the incoming data is actual JSON
10 // Logic borrowed from http://json.org/json2.js
11 if ( /^[\],:{}\s]*$/.test(data.replace(/\\(?:["\\\/bfnrt]|u[0-9a-fA-F]{4})/g, "@")
12 .replace(/"[^"\\
\r]*"|true|false|null|-?\d+(?:\.\d*)?(?:[eE][+\-]?\d+)?/g, "]")
13 .replace(/(?:^|:|,)(?:\s*\[)+/g, "")) ) {
14
15 // Try to use the native JSON parser first
16 return window.JSON && window.JSON.parse ?
17 window.JSON.parse( data ) :
18 (new Function("return " + data))();
19
20 } else {
21 jQuery.error( "Invalid JSON: " + data );
22 }
23 }
ですから、これからはevalの代わりにパースJSONを使ってください.