我得到那个
JSON.parse()阻止攻击者注入
JavaScript到响应,因为JSON解析器只是一个文本解析器,而不是一个脚本解析器,所以请不要关闭这是所有其他问题的谈话.这是一个不同的问题.
如果攻击者可以劫持您的Ajax调用,并将JavaScript放入Ajax调用中,那么它们并不只是可能劫持您的实际网页并将任意JavaScript放入您的页面,从而可以完成相同的攻击?
当然,通过使用JSON.parse()而不是eval(),你没有什么可失去的(除非你的环境中没有JSON解析器,并且必须添加更多的代码才能获得),但是真正的情况呢如果您的网页由与您的ajax通话相同的主机提供服务,请添加安全性?
