Json和$scope的角度之间的差异$eval应用于JSON字符串时

Difference between angular.fromJson and $scope.$eval when applied to JSON string

本文关键字:eval 应用于 JSON 字符串 之间 scope Json      更新时间:2023-09-26

在我的angularjs应用程序中,我通常使用angular.fromJson解析JSON字符串,如下所示:

var myObject=angular.fromJSON(jsonString);

然而,我似乎可以通过使用$scope.$eval:获得相同的结果

var myObject=$scope.$eval(jsonString);

看看这个小提琴

或者使用vanillajavaScript,比如:

var myObject=JSON.parse(jsonString);

  • 使用angular.fromJSON而不是JSON.parse有什么特殊的原因吗?

  • 使用$scope.$eval解析JSON字符串时是否存在任何可能的问题?

查看源代码:

function fromJson(json) {
  return isString(json)
      ? JSON.parse(json)
      : json;
}

他们刚刚通过JSON.parse

至于$eval,它的外壳是$parse:

  // $scope.$eval source:
  $eval: function(expr, locals) {
    return $parse(expr)(this, locals);
  },

$parse源太长,无法发布,但它基本上能够将内联(字符串化)对象转换为真实对象,因此在这种情况下,它实际上也会转换您的JSON。

(直到刚才阅读了$parse源代码,我才知道这一点。)

使用angular.fromJSON而不是JSON.parse有什么特别的原因吗?

不,不是真的。尽管他们确实会检查你以确保你不会双重解析JSON字符串,比如:

var jsonString = '{"foo":"bar"}';
var json = JSON.parse(jsonString); // Parsing once is good :)
JSON.parse(json); // Parsing twice is bad :(

使用$scope时是否存在任何可能的问题$eval来解析JSON字符串?

我不这么认为,除了你做的工作超出了必要的范围。因此,如果您知道您有JSON,就没有理由使用更重的$parse函数。

上面的答案几乎是正确的。但是,使用$scope.$eval()解析JSON字符串存在潜在问题,而JSON.parse()angular.fromJson()都不存在该问题:安全性。Angular允许表达式包含复杂的JavaScript,包括函数调用、带有?:的条件语句、变量赋值等。如果使用$scope.$eval(),所有这些都会被识别和处理,即使它们是由恶意的最终用户添加的。

JSON不支持任何更复杂的JavaScript功能,也不支持任何其他可能"危险"的功能。如果使用像JSON.parse()angular.fromJson()这样的真正JSON解析器,则不存在恶意代码被注入和执行的机会。

由于Angular表达式是孤立的,并且只在当前的$scope中进行计算,因此代码注入的风险在一定程度上得到了缓解——$scope.$eval()在解析JSON时远没有JavaScript的原生eval()危险。然而,仍然没有理由为此目的使用这两个函数,因为存在潜在的安全风险,并且使用适当的JSON解析器可能会更快。

相关文章: