0

出于好奇,因为 eval 是“邪恶的”。序列化数组可以防止 xxs 攻击吗?据我了解,serializeArray() 方法创建了一个 JavaScript 对象数组,准备好被编码为 JSON 字符串。如果是这样,评估数据的更好方法是什么。

var formdata = $('#form').serializeArray();
$.post('https://www.example.com', formdata, function(data) {
    if(data) {
     var buffer = eval('(' + data + ')');
     // do some logic to check for errors
    } else {
      // sumbit the form
    }
});
4

1 回答 1

1

变量 formdata 将包含“#form”数据作为一个数组,并将被发布到服务器 (example.com)。

服务器将响应一些数据,现在轮到你对数据“做一些逻辑”了。根据服务器,响应将是字符串、json 或其他数据格式。在这一点上,我很困惑地看到 eval 调用。

eval('(' + data + ')');

这不是您通常处理服务器数据的方式,问题是您是否信任服务器的数据来明确评估它。

说最好只从服务器传递数据并将其作为例如 JSON 接收并检查数据。

通常,这些库会处理 JSON 解析,您可以访问数据并对其进行迭代,就像在 javascript 中迭代对象/数组一样。由于您使用的是 JQuery,我会阅读 $.post 的文档并检查浏览器开发工具中的服务器响应。

于 2020-06-08T13:42:45.117 回答