Discussion :

[sekaijin]

ecmascript � propos� l'ajout des m�thodes
JSON.parse et JSON.stringify qui parse et serialise des donn�es en JSON

utiliser un vrais parser JSON offre l'avantage de s�curiser son code
en effet JSON est fait pour transporter des donn�es structur�es mais l'utilisation trop courant de eval pour transformer une chaine JSON en objet js en fait un vrais passoire puis du code peut �tre ex�cut� par ce biais.

JSON.parser va faire une vrai analyse du json et restituer l'objet correspondant tout en assurant la protection contre les injection de code.

il existe des codes js permettant de parser JSON en toute s�curit� comme ce que propose � titre d'exemple ecmascript
http://wiki.ecmascript.org/doku.php?...support&s=json

ce qui est int�ressant c'est que les navigateur modernes embarque de plus en plus le support natif de ces fonctionnalit�s.

et c'est le cas d'Internet Explorer 8 ce qui va rendre l'adoption de ces m�thodes plus facile

A+JYT

[SpaceFrog]

Une petite d�mo ?

[sekaijin]

Je n'ai pas de d�mo simple sous le coude
mais en gros la majorit� des lib font � peut pr�s toutes la m�me chose pour transformer le json en objet js

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

var myObject = eval('(' + myJSONtext + ')');

si myJSONtext contient alert('toto') une boite de dialogue va s'afficher. si c'est un code plus pernicieux qui est plac� dans la variable il sera ex�cut�.

la chose consiste � remplacer cela par

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

var myObject = JSON.parse(myJSONtext);

un c'est plus facile � �crire et deux s'il y a un code malicieux il ne sera pas ex�cut�. le probl�me aujourd'hui c'est que JSON.parse n'existe pas sur tous les navigateur il faut donc en cr�er un en js donc lent pour pouvoir utiliser la fonction.

l'@dresse suivante montre les diff�rence de comportement sur les deux approches http://json.parser.online.fr/
utilisez d'abord l'exemple fourni

puis essayez avec

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

{"b":jsonParse.innerHTML=6

dans le eval jsonParse.innerHTML va �tre remplac� par 6 et vous n'aurez pas votre json d'afficher car ce code � modifi� la page.
dans la partie pars� vous aurez b:6

et ensuite avec

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

{"a":document.location.hostname}

dans la partie eval a � pour valeur "document.location.hostname"
alors que dans la partie parser il � reconnu la r�f�rence et a prend la valeur du hostname

on ne peut donc pas faire un simple remplacer de eval par JSON.parse il faut penser son appli avec JSON.parse

si vous utilis� un librairie qui a une m�thode parse pour le JSON comme par exemple dans ExtJS

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

Ext.util.JSON.decode()

faites un test sur plusieurs navigateurs

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

Ext.util.JSON.decode('{"a":JSON.parse}')

A+JYT