0

我一直在阅读有关防止在 JSON 中执行未经授权的脚本的内容,我想使用这种做法。

问题是我不知道我该怎么做。

我的 json 结果是这样的

return Json(new { elements = elements }, JsonRequestBehavior.AllowGet);

我试过了

return Json(new { "while(1);", elements = elements }, JsonRequestBehavior.AllowGet);

它不起作用。

我怎样才能做到这一点?

4

1 回答 1

0

这是使 JSON 无效的好方法。相反,您应该专注于如何解析 JSON 数据。如果您不使用 eval 开始,这将不是问题。投资学习使用诸如 jQuery 之类的框架。我相信 jQuery 完全避免使用 eval,这意味着即使恶意用户尝试注入脚本,它也可以安全使用。

如果 GMail 直到今天仍然使用这种技术,我会感到非常惊讶。

话虽如此,您正在寻找evalJSON.Parse

于 2012-02-08T09:03:07.527 回答