备案控制台

开发者社区

开发者社区开发与运维文章正文

使用parseJSON代替eval

2013-08-23 853

版权

版权声明：

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 有些程序员如果没有很好的在javascript中解析json数据，往往会直接eval把json转成js对象，这时候如果json的数据中包含了被注入的恶意数据，则可能导致代码注入的问题。正确的做法是分割出json里包含的特殊字符，然后再解析为对象 1 parseJSON: function(...

有些程序员如果没有很好的在javascript中解析json数据，往往会直接eval把json转成js对象，这时候如果json的数据中包含了被注入的恶意数据，则可能导致代码注入的问题。

正确的做法是分割出json里包含的特殊字符，然后再解析为对象

 1 parseJSON: function( data ) {
 2   if ( typeof data !== "string" || !data ) {
 3    return null;
 4   }
 5 
 6   // Make sure leading/trailing whitespace is removed (IE can't handle it)
 7   data = jQuery.trim( data );
 8   
 9   // Make sure the incoming data is actual JSON
10   // Logic borrowed from http://json.org/json2.js
11   if ( /^[\],:{}\s]*$/.test(data.replace(/\\(?:["\\\/bfnrt]|u[0-9a-fA-F]{4})/g, "@")
12    .replace(/"[^"\\\n\r]*"|true|false|null|-?\d+(?:\.\d*)?(?:[eE][+\-]?\d+)?/g, "]")
13    .replace(/(?:^|:|,)(?:\s*\[)+/g, "")) ) {
14 
15    // Try to use the native JSON parser first
16    return window.JSON && window.JSON.parse ?
17     window.JSON.parse( data ) :
18     (new Function("return " + data))();
19 
20   } else {
21    jQuery.error( "Invalid JSON: " + data );
22   }
23  }

所以，以后请使用parseJSON代替eval。

文章标签：

JavaScript

程序员

数据格式

JSON

前端开发

awbeci

目录

相关文章

申公豹

|

16天前

|

监控安全 JavaScript

eval函数的基础用法

【4月更文挑战第7天】`eval`函数在Python中用于执行字符串形式的表达式，但可能导致安全问题，特别是在处理用户输入时。为了避免风险，可以限制输入范围、避免动态构建代码，或使用`ast.literal_eval`评估字面量。当必须使用`eval`时，可以考虑提供自定义命名空间、使用白名单限制函数和操作符，甚至创建沙箱环境。同时，代码审查和实时监控也是保障安全的关键。在安全性和性能之间寻找平衡是使用`eval`时的重要考量。

申公豹

36 2 2

smallmww

|

9月前

|

JavaScript 前端开发安全

什么是eval()?eval是用来干什么的？

eval() 是 JavaScript 中的一个全局函数，用于解析并执行传递给它的字符串作为 JavaScript 代码。

smallmww

139 0 0

邹邹很busy。

|

9月前

python--内置方法eval、zip、enumerate

python--内置方法eval、zip、enumerate

邹邹很busy。

20 0 0

前端歌谣

|

9月前

|

前端开发 JavaScript

前端eval的使用

前端eval的使用

前端歌谣

57 0 0

小小何先生

|

9月前

报错AttributeError: Can‘t pickle local object ‘Worker.__init__.＜locals＞.＜lambda＞‘解决办法

报错AttributeError: Can‘t pickle local object ‘Worker.__init__.＜locals＞.＜lambda＞‘解决办法

小小何先生

232 0 0

二哥不像程序员

|

12月前

解决使用eval函数出现name ‘XXX‘ is not defined问题

解决使用eval函数出现name ‘XXX‘ is not defined问题

二哥不像程序员

99 0 0

壹佰、

|

TensorFlow 算法框架/工具

解决TypeError: tf__update_state() got an unexpected keyword argument ‘sample_weight‘

解决TypeError: tf__update_state() got an unexpected keyword argument ‘sample_weight‘

壹佰、

230 0 0

解决TypeError: tf__update_state() got an unexpected keyword argument ‘sample_weight‘

游客gybmahbtqgs6y

|

缓存 Java Go

自带的 print 函数居然会报错？（下）

最近用 Python 写了几个简单的脚本来处理一些数据，因为只是简单功能所以我就直接使用 print 来打印日志。

游客gybmahbtqgs6y

110 0 0

小生凡一

|

Shell Python

初学Python之eval函数的嵌套eval中的eval

今天老师布置了一个作业，很简单的几行代码。但是也算让我彻底知道了Python中的eval这个函数了，因为之前学过一点Python，以为自己已经知道了eval函数的用法(还以为这是用来自动识别输入类型，可以用来输入字典）结果啪啪打脸了。呜呜呜。。。

小生凡一

184 0 0

一个处女座的程序猿

成功解决model_selection\_search.py:584: DeprecationWarning: "fit_params" as a constructor argument was d

成功解决model_selection\_search.py:584: DeprecationWarning: "fit_params" as a constructor argument was d

一个处女座的程序猿

95 0 0

热门文章

最新文章

无人驾驶背后的技术 - PostGIS点云(pointcloud)应用

大数据总线(DataHub)

MySQL数据库总结

卖VR眼镜需谨慎，已经有30多人因传播VR小黄片被抓了

git忽略文件【转】

Hyper-V静态内存

Asp.Net关于错误“Sources”参数中指定了多次。“Sources”参数不支持重复项。

OpenFiler configuration

「要拼就拼运维」做IT这么久，你还不懂老板的心思？

计划在CSDN学院推出系列视频课程《源码分析教程5部曲》

【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块（理论技能）

【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块（三）

【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块（二）

【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块（一）

【网络建设与运维】2024年河北省职业院校技能大赛中职组“网络建设与运维”赛项例题（六）

【网络建设与运维】2024年河北省职业院校技能大赛中职组“网络建设与运维”赛项例题（五）

【网络建设与运维】2024年河北省职业院校技能大赛中职组“网络建设与运维”赛项例题（四）

【网络建设与运维】2024年河北省职业院校技能大赛中职组“网络建设与运维”赛项例题（五）

2024年广东省网络系统管理样题第4套服务部署部分

2024年广东省网络系统管理样题第4套网络搭建部分

相关电子书

更多

低代码开发师（初级）实战教程

冬季实战营第三期：MySQL数据库进阶实战

阿里巴巴DevOps 最佳实践手册

下一篇

部署LAMP环境（Alibaba Cloud Linux 3）