如何在不使用“eval”的情况下安全地解析“宽松”JSON？

首页 > 编程 > 如何在不使用“eval”的情况下安全地解析“宽松”JSON？

如何在不使用“eval”的情况下安全地解析“宽松”JSON？

发布于2024-11-07

$How Can I Safely Parse \$

在没有风险评估的情况下解析“轻松”的 JSON

JSON 是一种广泛使用的数据交换格式，需要带引号的键的严格语法。但是，某些应用程序可能会遇到带有不带引号的键的“宽松”JSON。由于安全风险，不鼓励使用 eval 解析此类数据。

避免邪恶的 Eval

eval 的一种替代方法是基于正则表达式的方法，该方法在解析之前清理 JSON 。此方法扫描 JSON 字符串并用带引号的键替换任何未加引号的键，确保符合标准 JSON 语法而不影响安全性。

示例实现

要实现此方法，请按照下列步骤操作：

var badJson = "{muh: 2}";

// Sanitize the JSON using regular expression replace
var correctJson = badJson.replace(/(['"])?([a-z0-9A-Z_] )(['"])?:/g, '"$2": ');

// Parse the sanitized JSON using JSON.parse
var obj = JSON.parse(correctJson);

结论

使用正则表达式来清理宽松的 JSON 可以实现无缝解析，同时避免与 eval 相关的潜在安全风险。

最新教程更多>

Async Void vs. Async Task在ASP.NET中：为什么Async Void方法有时会抛出异常？
在ASP.NET async void void async void void void void void的设计无需返回asynchroncon而无需返回任务对象。他们在执行过程中增加未偿还操作的计数，并在完成后减少。在某些情况下，这种行为可能是有益的，例如未期望或明确预期操作结果的火灾和...

编程发布于2025-05-21
Java开发者如何保护数据库凭证免受反编译？
在java 在单独的配置文件保护数据库凭证的最有效方法中存储凭据是将它们存储在单独的配置文件中。该文件可以在运行时加载，从而使登录数据从编译的二进制文件中远离。使用prevereness class import java.util.prefs.preferences; 公共类示例{ 首选项...

编程发布于2025-05-21
HTML格式标签
HTML 格式化元素 **HTML Formatting is a process of formatting text for better look and feel. HTML provides us ability to format text without us...

编程发布于2025-05-21
如何在php中使用卷发发送原始帖子请求？
如何使用php 创建请求来发送原始帖子请求，开始使用curl_init（）开始初始化curl session。然后，配置以下选项： curlopt_url：请求 [要发送的原始数据指定内容类型，为原始的帖子请求指定身体的内容类型很重要。在这种情况下，它是文本/平原。要执行此操作，请使用包含以下标头...

编程发布于2025-05-21
如何在其容器中为DIV创建平滑的左右CSS动画？
通用CSS动画，用于左右运动，我们将探索创建一个通用的CSS动画，以向左和右移动DIV，从而到达其容器的边缘。该动画可以应用于具有绝对定位的任何div，无论其未知长度如何。问题：使用左直接导致瞬时消失更加流畅的解决方案：混合转换和左 [并实现平稳的，线性的运动，我们介绍了线性的转换。这...

编程发布于2025-05-21
大批
[2 数组是对象，因此它们在JS中也具有方法。切片（开始）：在新数组中提取部分数组，而无需突变原始数组。令ARR = ['a'，'b'，'c'，'d'，'e']; // USECASE：提取直到索引作...

编程发布于2025-05-21
如何在Java字符串中有效替换多个子字符串？
在java 中有效地替换多个substring，需要在需要替换一个字符串中的多个substring的情况下，很容易求助于重复应用字符串的刺激力量。但是，对于大字符串或使用许多字符串时，这可能是降低的。利用正则表达式Example UsageConsider a scenario where y...

编程发布于2025-05-21
Android如何向PHP服务器发送POST数据？
在android apache httpclient（已弃用） httpclient httpclient = new defaulthttpclient（）; httppost httppost = new httppost（“ http://www.yoursite.com/script.p...

编程发布于2025-05-21
如何从PHP中的Unicode字符串中有效地产生对URL友好的sl。
为有效的slug生成首先，该函数用指定的分隔符替换所有非字母或数字字符。此步骤可确保slug遵守URL惯例。随后，它采用ICONV函数将文本简化为us-ascii兼容格式，从而允许更广泛的字符集合兼容性。接下来，该函数使用正则表达式删除了不需要的字符，例如特殊字符和空格。此步骤可确保slug仅包含...

编程发布于2025-05-21
如何避免Go语言切片时的内存泄漏？
，a [j：] ...虽然通常有效，但如果使用指针，可能会导致内存泄漏。这是因为原始的备份阵列保持完整，这意味着新切片外部指针引用的任何对象仍然可能占据内存。 copy（a [i：] 对于k，n：= len（a）-j i，len（a）; k

编程发布于2025-05-21
如何从Python中的字符串中删除表情符号：固定常见错误的初学者指南？
从python import codecs import codecs import codecs 导入 text = codecs.decode（'这狗\ u0001f602'.encode（'utf-8'），'utf-8'）印刷（文字）＃带有...

编程发布于2025-05-21
如何使用Regex在PHP中有效地提取括号内的文本
php：在括号内提取文本在处理括号内的文本时，找到最有效的解决方案是必不可少的。一种方法是利用PHP的字符串操作函数，如下所示：作为替代 $ text ='忽略除此之外的一切（text）'; preg_match（'＃（（。 &&& [Regex使用模式来搜索特...

编程发布于2025-05-21
为什么PYTZ最初显示出意外的时区偏移？
与pytz 最初从pytz获得特定的偏移。例如，亚洲/hong_kong最初显示一个七个小时37分钟的偏移：差异源利用本地化将时区分配给日期，使用了适当的时区名称和偏移量。但是，直接使用DateTime构造器分配时区不允许进行正确的调整。 example pytz.timezone（...

编程发布于2025-05-21
在GO中构造SQL查询时，如何安全地加入文本和值？
在go中构造文本sql查询时，在go sql queries 中，在使用conting and contement和contement consem per时，尤其是在使用integer per当per当per时，per per per当per. [&&&&&&&&&&&&&&&&默元组方法在...

编程发布于2025-05-21
版本5.6.5之前，使用current_timestamp与时间戳列的current_timestamp与时间戳列有什么限制？
在时间戳列上使用current_timestamp或MySQL版本中的current_timestamp或在5.6.5 此限制源于遗留实现的关注，这些限制需要对当前的_timestamp功能进行特定的实现。创建表`foo`（ `Productid` int（10）unsigned not n...

编程发布于2025-05-21