1.不要使用顶级JSON数组,避免被<script>标签引用。
2.使用POST+密钥获取JSON,尽量不要用GET方式。
3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。
4.将JSON值中的html字符转码,防范在JSON中使用html带来的安全问题。
本文共 222 字,大约阅读时间需要 1 分钟。
1.不要使用顶级JSON数组,避免被<script>标签引用。
2.使用POST+密钥获取JSON,尽量不要用GET方式。
3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。
4.将JSON值中的html字符转码,防范在JSON中使用html带来的安全问题。
转载于:https://www.cnblogs.com/zhengwenqiang/p/6804629.html