Je n'ai pas de démo simple sous le coude
mais en gros la majorité des lib font à peut près toutes la même chose pour transformer le json en objet js
var myObject = eval('(' + myJSONtext + ')');
si myJSONtext contient alert('toto') une boite de dialogue va s'afficher. si c'est un code plus pernicieux qui est placé dans la variable il sera exécuté.
la chose consiste à remplacer cela par
var myObject = JSON.parse(myJSONtext);
un c'est plus facile à écrire et deux s'il y a un code malicieux il ne sera pas exécuté. le problème aujourd'hui c'est que JSON.parse n'existe pas sur tous les navigateur il faut donc en créer un en js donc lent pour pouvoir utiliser la fonction.
l'@dresse suivante montre les différence de comportement sur les deux approches http://json.parser.online.fr/
utilisez d'abord l'exemple fourni
puis essayez avec
{"b":jsonParse.innerHTML=6
dans le eval jsonParse.innerHTML va être remplacé par 6 et vous n'aurez pas votre json d'afficher car ce code à modifié la page.
dans la partie parsé vous aurez b:6
et ensuite avec
{"a":document.location.hostname}
dans la partie eval a à pour valeur "document.location.hostname"
alors que dans la partie parser il à reconnu la référence et a prend la valeur du hostname
on ne peut donc pas faire un simple remplacer de eval par JSON.parse il faut penser son appli avec JSON.parse
si vous utilisé un librairie qui a une méthode parse pour le JSON comme par exemple dans ExtJS
faites un test sur plusieurs navigateurs
Ext.util.JSON.decode('{"a":JSON.parse}')
A+JYT
Partager