猿问

序列化数组是否会在传递到评估之前对输入进行清理?

出于好奇,因为eval是“邪恶的”。序列化数组是否可以防止 xxs 攻击?根据我的理解,序列化Array()方法创建了一个对象的JavaScript数组,准备编码为JSON字符串。如果是这样,那么评估数据的更好方法是什么。


var formdata = $('#form').serializeArray();

$.post('https://www.example.com', formdata, function(data) {

    if(data) {

     var buffer = eval('(' + data + ')');

     // do some logic to check for errors

    } else {

      // sumbit the form

    }

});


一只甜甜圈
浏览 117回答 1
1回答

慕村9548890

变量 formdata 将包含“#form”数据作为数组,并将发布到服务器(example.com)。服务器将使用一些数据进行响应,现在轮到您对数据“执行一些逻辑”了。根据服务器的不同,响应将是字符串,json或其他数据格式。在这一点上,我感到困惑的是看到评估调用。eval('(' + data + ')');这不是您通常处理服务器数据的方式,问题是您是否信任服务器的数据来明确地评估它。说这是一个更好的主意,只从服务器传递数据,并作为JSON接收它,然后遍历数据。通常,库将处理JSON解析,您可以访问数据并对其进行迭代,就像在javascript中迭代对象/数组一样。由于您使用的是JQuery,因此我会阅读$.post的文档,并在浏览器开发工具中检查服务器响应。
0
随时随地看视频慕课网APP

相关分类

JavaScript
我要回答