Pregunta rápida. Evaluar en JavaScript no es seguro, ¿verdad? Tengo un objeto JSON como una cadena y tengo que convertirlo en un objeto real para que pueda obtener los datos:Alternativas a JavaScript eval() para analizar JSON
function PopulateSeriesFields(result)
{
data = eval('(' + result + ')');
var myFakeExample = data.exampleType
}
Si se ayuda a que estoy usando el método $ .ajax de jQuery.
Gracias
Bueno, seguro o no, cuando está usando jQuery, es mejor utilizar el método de $.getJSON(), no .ajax $():
$.getJSON(url, function(data){
alert(data.exampleType);
});
eval() general se considera seguro para el análisis JSON cuando solo se están comunicando con su propio servidor y especialmente cuando usa una buena biblioteca JSON en el servidor que garantiza que el JSON generado no contenga nada desagradable.
Incluso Douglas Crockford, el autor de JSON, dijo que no debe usar eval() en ningún lugar de su código, excepto para analizar JSON. Consulte la sección correspondiente en su libro JavaScript: The Good Parts
Unsafe? Eso depende de si puedes confiar en los datos.
Si puede confiar en que la cadena será JSON (y no incluirá, por ejemplo, funciones), entonces es seguro.
Dicho eso: si usa jQuery, ¿por qué lo hace de forma manual? Use la opción dataType para especificar que es JSON y deje que la biblioteca se encargue de usted.
Usar el eval de JavaScript no es seguro. Porque JSON es solo un subconjunto de JavaScript, pero el eval de JavaScript permite cualquier JavaScript válido.
Use un analizador JSON real como el JSON parser from json.org en su lugar.
La alternativa para evaluar el código es analizarlo manualmente. No es tan difícil como suena, pero es bastante más pesado en tiempo de ejecución. You can read about it here.
La parte importante a tener en cuenta es la evaluación de JSON no es intrínsecamente inseguro. Siempre y cuando confíes en la fuente para no arruinar las cosas. Eso incluye asegurarse de que las cosas pasadas al codificador JSON se hayan escapado correctamente (para evitar que las personas realicen 2 pasos en la ejecución del código en las máquinas de los usuarios).
Si no puede confiar en la fuente, entonces está en lo correcto ... eval no es seguro. Podría usarse para inyectar código en sus páginas.
Salida este enlace para una alternativa más segura:
La página explica por qué eval no es seguro y proporciona un enlace a un analizador JSON en la parte inferior de la página.
Debe usar JSON y escribir JSON.parse.
El análisis "Manual" es demasiado lento, por lo que la implementación JSON.parse de la biblioteca comprueba cosas y luego termina utilizando eval, por lo que es still unsafe. Pero, si está utilizando un navegador más nuevo (IE8 o Firefox), el código de la biblioteca no se ejecuta realmente.En su lugar, compatible con el navegador nativo entra en acción, y entonces está seguro.
http://code.google.com/p/json-sans-eval/ es un analizador manual que pretende ser rápido y seguro. Sin embargo, tiene razón en que debería preferirse el soporte nativo donde esté disponible. –
Si está utilizando jQuery, a partir de la versión 1.4.1 se puede utilizar jQuery.parseJSON()
Ver esta respuesta: Safe json parsing with jquery?
se puede probar como esta
var object = new Function("return " + jsonString)()
Esto es simplemente un alias eval. –
(gracioso, lo leí como 'mal alias' en el primer escaneo :-) –
Semánticamente, no hay diferencia. –
Otra gran alternativa es YUI: http://yuilibrary.com/yui/docs/json/
Así que su código sería algo así como:
Y.JSON.parse('{"id": 15, "name": "something"}');
me hizo una pregunta similar aquí: http://stackoverflow.com/questions/646597/eval-is-evil-so-what-should-i-use-instead – karlipoppins