パーパーパーJSONをevalの代わりに使う.

3183 ワード

いくつかのプログラマは、javascriptでJsonデータを解析しないと、直接evalでjsonをjsオブジェクトに変換します.この場合、jsonのデータに注入された悪意のあるデータが含まれていると、コード注入の問題になります.正しいやり方はjsonに含まれる特殊文字を分割して対象とします. 
 1 parseJSON: function( data ) {

 2   if ( typeof data !== "string" || !data ) {

 3    return null;

 4   }

 5 

 6   // Make sure leading/trailing whitespace is removed (IE can't handle it)

 7   data = jQuery.trim( data );

 8   

 9   // Make sure the incoming data is actual JSON

10   // Logic borrowed from http://json.org/json2.js

11   if ( /^[\],:{}\s]*$/.test(data.replace(/\\(?:["\\\/bfnrt]|u[0-9a-fA-F]{4})/g, "@")

12    .replace(/"[^"\\
\r]*"|true|false|null|-?\d+(?:\.\d*)?(?:[eE][+\-]?\d+)?/g, "]") 13 .replace(/(?:^|:|,)(?:\s*\[)+/g, "")) ) { 14 15 // Try to use the native JSON parser first 16 return window.JSON && window.JSON.parse ? 17 window.JSON.parse( data ) : 18 (new Function("return " + data))(); 19 20 } else { 21 jQuery.error( "Invalid JSON: " + data ); 22 } 23 }
 
ですから、これからはevalの代わりにパースJSONを使ってください.