eval 和 window.json.parse 处理responseText 之间的区别？

Question

我手头有以下代码

var FinalCompleteData = eval("("+jsonresponse.responseText+")");

当我使用此代码时，我在 Fortify 中收到一个安全缺陷错误，说它可能会导致JavaScript 黑客攻击。因此，我将其更改为

var FinalCompleteData = window.json.parse(jsonresponse.responseText);

为此，Fortify 没有显示错误。 window.json.parse 方法有什么作用？

你能解释一下吗？提前致谢 ：-）

Answer 1

eval 将执行它应该评估的任何 JavaScript 代码，并且它以最高级别的安全性进行评估。这意味着，如果您的响应文本返回非 json 代码，但返回有效的 javascript，eval 将执行它。天空是极限，它可以添加新功能、更改变量、重定向页面。

使用 window.json.parse 只会评估 json，因此输入恶意代码的风险要小得多。

Answer 2

eval 能够运行任何类型的 javascript 代码 - 不仅仅是像 JSON.parse 那样的简单对象/数组（它检查内容 - 验证 json）。因此，在无法保证输入的地方应避免 eval。

Answer 3

正如其他人提到的，eval 将执行任何有效的 JavaScript 代码。因此，以下情况将引发警报：

var jsObject = eval("alert('blah')");

您本质上信任来自给定来源的任何输入，这通常是不安全的。恶意用户可能会利用 eval 并执行有害的 JavaScript。

然而，只有当传入的字符串是有效的 JSON 时，JSON.parse 才会成功返回：

// gives "SyntaxError: JSON.parse"
var jsObject = JSON.parse("alert('blah')");

因此，它不会按照 eval 的方式执行任何内容。