在 JSON 中传递 JS 函数有哪些 XSS 危险？

发布于 2024-12-26 06:18:13 字数 293 浏览 0 评论 0原文

创建一个 JSON 对象非常简单，如下所示：

{ "key": "value", "myFunction": function() { alert('hi'); } } }

其从服务器传递到脚本，我可以在其中调用 myFunction()。果然，该功能正常工作，我收到一条警报：“嗨”。对我来说，这可能是保持脚本大小较小的非常有用的方法。然而，我认为通过 JSON 传递函数而不仅仅是数据存在 XSS 危险。有人可以解释一下这些是什么吗？如果合适的话，可以采取哪些步骤来消除它们？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

眼前雾蒙蒙 2025-01-02 06:18:13

function 不是 JSON 的一部分，因为 JSON 不是 JavaScript。

大多数库都使用 JSON 解析器（如果可以的话，使用浏览器的解析器）。所以这不会被正确解析。虽然使用eval来解析JSON是邪恶的。 eval 总的来说是邪恶的。

而且您一直使用

回复收藏 0 原文

握住你手 2025-01-02 06:18:13

这取决于您如何加载和解析 JSON。如果您使用 jQuery 并通过 AJAX 加载数据，那么该数据将传递到浏览器的内置 JSON 解析器，该解析器不支持 greut 所解释的功能。
http://erlend.oftedal.no/blog/misc/json/index.html

但是，如果您通过 JSONP（围绕它包装一个函数）加载它，通过 JSON 将其直接添加到页面末尾的脚本标记中，例如 Socialcast 所做的那样，那么它就很容易受到攻击。
http://erlend.oftedal.no/blog/misc/json/index2.html

如果您在使用最后一个时遇到问题，您应该记住 JSON 值（和键）应始终包含在“”中。因此，如果您从不受信任的数据构建 JSON，则必须记住对其进行 JSON 编码。它有点类似于 Javascript 编码，只是 JSON 有一些额外的怪癖。例如，您可以拥有一个有效的 JSON 文件，该文件不是有效的 javascript，因为它包含 JSON 中允许的字符，但需要用 javascript 进行编码。

回复收藏 0 原文

~没有更多了~