-
JSON parse et stringify
ecmascript à proposé l'ajout des méthodes
JSON.parse et JSON.stringify qui parse et serialise des données en JSON
utiliser un vrais parser JSON offre l'avantage de sécuriser son code
en effet JSON est fait pour transporter des données structurées mais l'utilisation trop courant de eval pour transformer une chaine JSON en objet js en fait un vrais passoire puis du code peut être exécuté par ce biais.
JSON.parser va faire une vrai analyse du json et restituer l'objet correspondant tout en assurant la protection contre les injection de code.
il existe des codes js permettant de parser JSON en toute sécurité comme ce que propose à titre d'exemple ecmascript
http://wiki.ecmascript.org/doku.php?...support&s=json
ce qui est intéressant c'est que les navigateur modernes embarque de plus en plus le support natif de ces fonctionnalités.
et c'est le cas d'Internet Explorer 8 ce qui va rendre l'adoption de ces méthodes plus facile
A+JYT
-
-
Je n'ai pas de démo simple sous le coude
mais en gros la majorité des lib font à peut près toutes la même chose pour transformer le json en objet js
Code:
var myObject = eval('(' + myJSONtext + ')');
si myJSONtext contient alert('toto') une boite de dialogue va s'afficher. si c'est un code plus pernicieux qui est placé dans la variable il sera exécuté.
la chose consiste à remplacer cela par
Code:
var myObject = JSON.parse(myJSONtext);
un c'est plus facile à écrire et deux s'il y a un code malicieux il ne sera pas exécuté. le problème aujourd'hui c'est que JSON.parse n'existe pas sur tous les navigateur il faut donc en créer un en js donc lent pour pouvoir utiliser la fonction.
l'@dresse suivante montre les différence de comportement sur les deux approches http://json.parser.online.fr/
utilisez d'abord l'exemple fourni
puis essayez avec
Code:
{"b":jsonParse.innerHTML=6
dans le eval jsonParse.innerHTML va être remplacé par 6 et vous n'aurez pas votre json d'afficher car ce code à modifié la page.
dans la partie parsé vous aurez b:6
et ensuite avec
Code:
{"a":document.location.hostname}
dans la partie eval a à pour valeur "document.location.hostname"
alors que dans la partie parser il à reconnu la référence et a prend la valeur du hostname
on ne peut donc pas faire un simple remplacer de eval par JSON.parse il faut penser son appli avec JSON.parse
si vous utilisé un librairie qui a une méthode parse pour le JSON comme par exemple dans ExtJS
Code:
Ext.util.JSON.decode()
faites un test sur plusieurs navigateurs
Code:
Ext.util.JSON.decode('{"a":JSON.parse}')
A+JYT