consigo que JSON.parse() evita que un atacante inyectar JavaScript en la respuesta desde un analizador JSON es sólo un programa de análisis de texto, no un programa de análisis de la escritura por lo que no cierre esta es una DUP de todas las otras preguntas que hablan sobre eso. Esta es una pregunta diferente.¿JSON.parse() es realmente más seguro que eval() cuando la página web y la llamada ajax provienen del mismo servidor?
Si un atacante puede secuestrar su llamada Ajax y poner javascript en la llamada Ajax, ¿no es probable que puedan secuestrar su página web real y poner javascript arbitrario en su página desde la que puedan realizar exactamente el mismo ataque? ?
Claro, no tiene nada que perder al usar JSON.parse() en lugar de eval() (a menos que aún no tenga un analizador JSON en su entorno y tenga que agregar más código para obtener uno), pero situaciones ¿realmente agrega seguridad si su página web está siendo servida por el mismo host que su llamada ajax?
Me pregunto si esto pertenece al [IT Security StackExchange] (http://security.stackexchange.com)? –
Lo puse aquí porque aquí es donde todos los que publican un fragmento de código que usa eval() son criticados acerca de cuán inseguro es. – jfriend00