危険な評価を行わない「緩和された」JSON の解析

広く使用されているデータ交換形式である JSON では、キーを引用符で囲んだ厳密な構文が必要です。ただし、特定のアプリケーションでは、引用符で囲まれていないキーを含む「緩和された」JSON が発生する場合があります。 eval を使用してこのようなデータを解析することは、セキュリティ リスクのため推奨されません。

不正な Eval の回避

eval に代わる 1 つの方法は、解析前に JSON をサニタイズする正規表現ベースのアプローチです。 。このメソッドは、JSON 文字列をスキャンし、引用符で囲まれていないキーを引用符で囲まれたキーに置き換え、セキュリティを損なうことなく標準の JSON 構文への準拠を保証します。

実装例

このアプローチを実装するには、次のようにします。次の手順に従ってください:

var badJson = "{muh: 2}";

// Sanitize the JSON using regular expression replace
var correctJson = badJson.replace(/(['"])?([a-z0-9A-Z_] )(['"])?:/g, '"$2": ');

// Parse the sanitized JSON using JSON.parse
var obj = JSON.parse(correctJson);

結論

正規表現を使用してリラックスした JSON をサニタイズすると、eval に関連する潜在的なセキュリティ リスクを回避しながら、シームレスな解析が可能になります。