我正在经历使用 eval() 对于基于 XSS 的攻击的不良影响。我需要保护一段代码免受可能的 XSS 攻击,我猜 JSON.parse() 应该可以正常工作。
var request = new XMLHttpRequest();
var url = encDataPath + "/jcr:content/metadata.json?_charset_=utf-8";
url = Granite.HTTP.externalize(url);
request.open("GET", url ,false);
request.send(null);
var jsonData =eval("(" + request.responseText + ")"); // <-- here
var assetTitle = jsonData["dc:title"];
var mimetype = jsonData["dc:format"];
有人可以建议我如何将 eval() (对于 jsonData)更改为 JSON.parse?
最佳答案
只需将该行替换为:
var jsonData = JSON.parse(request.responseText);
只要响应是正确的 JSON,这应该就可以工作。
关于javascript - 将 eval() 转换为 JSON.parse,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43342911/