1.不要使用顶级JSON数组,避免被<script>标签引用。
2.使用POST+密钥获取JSON,尽量不要用GET方式。
3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。
4.将JSON值中的html字符转码,防范在JSON中使用html带来的安全问题。
1.不要使用顶级JSON数组,避免被<script>标签引用。
2.使用POST+密钥获取JSON,尽量不要用GET方式。
3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。
4.将JSON值中的html字符转码,防范在JSON中使用html带来的安全问题。