-
JSON parse et stringify
ecmascript � propos� l'ajout des m�thodes
JSON.parse et JSON.stringify qui parse et serialise des donn�es en JSON
utiliser un vrais parser JSON offre l'avantage de s�curiser son code
en effet JSON est fait pour transporter des donn�es structur�es mais l'utilisation trop courant de eval pour transformer une chaine JSON en objet js en fait un vrais passoire puis du code peut �tre ex�cut� par ce biais.
JSON.parser va faire une vrai analyse du json et restituer l'objet correspondant tout en assurant la protection contre les injection de code.
il existe des codes js permettant de parser JSON en toute s�curit� comme ce que propose � titre d'exemple ecmascript
http://wiki.ecmascript.org/doku.php?...support&s=json
ce qui est int�ressant c'est que les navigateur modernes embarque de plus en plus le support natif de ces fonctionnalit�s.
et c'est le cas d'Internet Explorer 8 ce qui va rendre l'adoption de ces m�thodes plus facile
A+JYT
-
-
Je n'ai pas de d�mo simple sous le coude
mais en gros la majorit� des lib font � peut pr�s toutes la m�me chose pour transformer le json en objet js
Code:
var myObject = eval('(' + myJSONtext + ')');
si myJSONtext contient alert('toto') une boite de dialogue va s'afficher. si c'est un code plus pernicieux qui est plac� dans la variable il sera ex�cut�.
la chose consiste � remplacer cela par
Code:
var myObject = JSON.parse(myJSONtext);
un c'est plus facile � �crire et deux s'il y a un code malicieux il ne sera pas ex�cut�. le probl�me aujourd'hui c'est que JSON.parse n'existe pas sur tous les navigateur il faut donc en cr�er un en js donc lent pour pouvoir utiliser la fonction.
l'@dresse suivante montre les diff�rence de comportement sur les deux approches http://json.parser.online.fr/
utilisez d'abord l'exemple fourni
puis essayez avec
Code:
{"b":jsonParse.innerHTML=6
dans le eval jsonParse.innerHTML va �tre remplac� par 6 et vous n'aurez pas votre json d'afficher car ce code � modifi� la page.
dans la partie pars� vous aurez b:6
et ensuite avec
Code:
{"a":document.location.hostname}
dans la partie eval a � pour valeur "document.location.hostname"
alors que dans la partie parser il � reconnu la r�f�rence et a prend la valeur du hostname
on ne peut donc pas faire un simple remplacer de eval par JSON.parse il faut penser son appli avec JSON.parse
si vous utilis� un librairie qui a une m�thode parse pour le JSON comme par exemple dans ExtJS
Code:
Ext.util.JSON.decode()
faites un test sur plusieurs navigateurs
Code:
Ext.util.JSON.decode('{"a":JSON.parse}')
A+JYT
