-2
ローカルサーバーからJSONデータを取得していて、データをHTMLでページに出力する前に、そのデータをどの機能で実行する必要があるのか不思議でした。すべてが安全であることを保証し、引用符のような特殊文字が適切に処理されるようにします。JSONデータをJavaScript経由でページに挿入する前に、これを行う必要がありますか?
ありがとうございます!
A
答えて
3
正規のJSONを使用していて、実際のJSONパーサーでeval()を使用していない場合、JSONは安全です。実行可能コードを含むことはできず、データ定義のみを含むことができます。
あなたのクライアントコードでは、解析されたJSONを取得して、データに十分な健全性チェックを実行して、それが意味をなさないことを確認し、実行したい特定のテストに合格することはできますが、実際のJSONパーサーと実際のJSONパーサーを使用している場合、コードインジェクションについて心配する必要はありません。これがJSONを使用する利点の1つです。これはデータのみの形式です。
サーバーをハイジャックして偽のデータを返すことが心配な場合は、httpsを使用してエンドポイントを保護し、クライアントで明確な正常性チェックを実行できます。
+0
ダウンロードやJSON解析では実行できませんが、一度ドキュメントにコンテンツを挿入しようとすると、スクリプトタグやその他の新機能が含まれている可能性があります。 – Kato
+0
データはデータです。 JSONをjavascriptオブジェクト形式に解析しても、脆弱性は発生しません(これがJSON形式とパーサーに組み込まれた安全性の要点です)。私が答えて言ったように、あなたが特定のものから守りたいと思うデータを使って何かをしているのであれば、そのことについて健全性チェックを行うことができますが、それは非常にアプリケーション特有であり、OPにはJSONデータを使って何をやっているかに関する情報。 – jfriend00
+0
あなたの答えと説明に感謝します。コードはphp_encodeによって実行されているので、私は良いと思います。 – Zoolander
関連する問題
- 1. コンテキストにDaggerを挿入する必要がありますか?
- 2. どこのCSSを.htmlページに入れる必要がありますか?
- 3. ブログのページにスライダーを挿入する必要があります
- 4. サイレントモードでバッチファイル経由でvbsciptを実行する必要があります
- 5. jsRender、データはJSONにある必要がありますか?
- 6. ページにはどこにjavascriptを含める必要がありますか?
- 7. CSSにJavaScriptを入れる必要があります
- 8. 一般に、要素を挿入する前に要素がセットに含まれているかどうかを確認する必要がありますか?
- 9. JSONをJava経由でPostgresに挿入するには?
- 10. 挿入されるデータのタイミングを解読する必要があります
- 11. python:txtboxにテキストボックスを挿入する必要があります
- 12. 属性gridster-itemはどこに挿入する必要がありますか?
- 13. 要求を行う前にREST APIラッパーが入力を検証する必要がありますか?
- 14. API経由で、またはプロジェクトのソースコード経由で、Intel Embreeを使用する必要がありますか?
- 15. MS SQLのopenxmlストアドプロシージャ経由で行のデータをテーブルに挿入
- 16. この形式のjsonデータをtitlesで表示する必要があります。これを行うにはどうすればいいですか?
- 17. データベースからモデルに入れられる前にデータを傍受する必要があります。
- 18. Javascript経由でGoogle APIを挿入
- 19. php、ajax、javascriptを使用してデータベースにデータを挿入する必要があります
- 20. JavaScript/jQuery経由でSVGインラインを挿入するには?
- 21. Rでマージする前にデータをソートする必要がありますか?
- 22. StoryBoards経由でロードすると、UITableViewのデータソースをどこに設定する必要がありますか?
- 23. これを行うメソッドの名前はどのようにする必要がありますか?
- 24. インターセプタを挿入または挿入する必要があります
- 25. コントローラからjsonデータを返す必要がありますか?
- 26. 新しいオブジェクトを挿入する前にリストからオブジェクトを削除する必要がありますか?
- 27. これを行うにはJavaScript関数呼び出しにフックする必要がありますか?
- 28. このような状況では、どのクラス名をジェネリックに挿入する必要がありますか?
- 29. データはasp.net経由でデータベースに挿入されません
- 30. アクティビティまたはビューにコードを挿入する必要がありますか?
どのようなデータが返されますか? HTMLコンテンツですか?消毒されたテキスト? JSコードを実行するには?未知の? – Kato
詳細情報が必要です..正確には「安全」とはどういう意味ですか?サーバーから返されるデータは何ですか?どのように解析する必要がありますか? –
@Kato JSON、彼は言う.. – redShadow