위험한 평가 없이 "완벽한" JSON 구문 분석

널리 사용되는 데이터 교환 형식인 JSON에는 인용 키가 포함된 엄격한 구문이 필요합니다. 그러나 특정 애플리케이션에서는 따옴표가 없는 키가 있는 "완화된" JSON이 발생할 수 있습니다. eval을 사용하여 이러한 데이터를 구문 분석하는 것은 보안 위험으로 인해 권장되지 않습니다.

악한 평가 방지

eval의 한 가지 대안은 구문 분석하기 전에 JSON을 삭제하는 정규식 기반 접근 방식입니다. . 이 방법은 JSON 문자열을 스캔하고 인용되지 않은 키를 인용된 키로 대체하여 보안을 손상시키지 않으면서 표준 JSON 구문을 준수하도록 보장합니다.

구현 예

이 접근 방식을 구현하려면, 다음 단계를 따르세요.

var badJson = "{muh: 2}";

// Sanitize the JSON using regular expression replace
var correctJson = badJson.replace(/(['"])?([a-z0-9A-Z_] )(['"])?:/g, '"$2": ');

// Parse the sanitized JSON using JSON.parse
var obj = JSON.parse(correctJson);

결론

정규식을 사용하여 완화된 JSON을 삭제하면 평가와 관련된 잠재적인 보안 위험을 피하면서 원활한 구문 분석이 가능합니다.