javascript - 在 RoR 中使用 ActiveRecord::Serialization.from_json() 解析上传的 JSON 会打开任何安全漏洞吗？

Question

我计划在 Ruby on Rails 中实现导出导入功能。现在既然 JSON 可以包含 JavaScript，我想知道当我要求 ruby​​ 将 JSON 转换为哈希时，是否有人可以注入可以运行的恶意代码。

Answer 1

不，JSON 不能包含 javascript 代码*。它是更严格的 Javascript 对象文字合成器版本。

http://json.org/

*- 实际上，javascript 代码可以包含在字符串中的 JSON 中，但不会被解析。