クイック質問。JavaScript での評価は安全ではありませんか? JSON オブジェクトを文字列として持っています。データを取得できるように、それを実際のオブジェクトに変換する必要があります。
function PopulateSeriesFields(result)
{
data = eval('(' + result + ')');
var myFakeExample = data.exampleType
}
それが役立つ場合は、jQuery の $.ajax メソッドを使用しています。
ありがとう
安全であろうとなかろうと、jQuery を使用している場合は、$.ajax() ではなく、$.getJSON()メソッドを使用することをお勧めします。
$.getJSON(url, function(data){
alert(data.exampleType);
});
eval()通常、独自のサーバーとのみ通信している場合、特に生成された JSON に厄介なものが含まれないことを保証するサーバー側で優れた JSON ライブラリを使用する場合は、JSON 解析に対して安全であると見なされます。
JSON の作成者である Douglas Crockford でさえ、JSONeval()を解析する場合を除いて、コードのどこにも使用すべきではないと述べています。彼の著書JavaScript: The Good Partsの対応するセクションを参照してください。
ソースを信頼できない場合は、正しい... eval は安全ではありません。ページにコードを挿入するために使用できます。
より安全な代替手段については、このリンクを確認してください。
このページでは、eval が安全でない理由を説明し、ページの下部に JSON パーサーへのリンクを提供しています。
安全でない?それは、データを信頼できるかどうかによって異なります。
文字列が JSON になる (関数などを含まない) ことが信頼できる場合は、安全です。
そうは言っても、jQueryを使用している場合、なぜこれを手動で行うのですか? dataTypeオプションを使用してJSON であることを指定し、ライブラリに処理させます。
jQuery を使用している場合、バージョン 1.4.1 以降、jQuery.parseJSON() を使用できます。
この回答を参照してください: jquery を使用した安全な json 解析?
JavaScript の使用evalは安全ではありません。JSON は JavaScript のサブセットにすぎませんが、JavaScriptevalは有効な JavaScript をすべて許可するためです。
代わりに、json.orgの JSON パーサーのような実際の JSON パーサーを使用してください。
コードを評価する代わりに、手動で解析することもできます。思ったほど難しくはありませんが、実行時はかなり重くなります。ここでそれについて読むことができます。
注意すべき重要な部分は、JSON の評価は本質的に安全ではないということです。情報源を信頼している限り、事態は悪化しません。これには、JSON エンコーダーに渡されたものが適切にエスケープされていることを確認することも含まれます (ユーザーのマシンでコードを実行するストリームを 2 ステップ上で実行するのを防ぐため)。
このように試すことができます
var object = new Function("return " + jsonString)()
別の優れた代替手段は YUI です: http://yuilibrary.com/yui/docs/json/
したがって、コードは次のようになります。
Y.JSON.parse('{"id": 15, "name": "something"}');