所以我一直在寻找通过MooTools的文档了解更多关于JSON.decode评论,发现有点最近评论张贴读取以下...XSS - 寻找解释为mootools的请求
“注意XSS漏洞:安全的默认值是虚假的, 这意味着JSON.decode(“alert(document.cookie)”)显示弹出式窗口 !“
的JSON.decode方法的文档这样说:
JSON方法:解码
JSON字符串转换为JavaScript对象转换。
语法:
var object = JSON.decode(string[, secure]);
参数:
串 - (串),以评估的字符串。
secure - (布尔值,可选:默认为false)如果设置为true,则检查是否存在危险语法,如果发现任何危险语法,则返回null。
返回:(对象)由JSON字符串表示的对象。
因此,基于文档,对我来说很明显JSON.decode方法默认设置为“不安全”。我的问题是,与XSS有什么(如果有的话),以及我的帖子顶部的评论是否有价值。假设你在前端使用Mootools,并且你相信你正在进行AJAX调用的地址,那么这怎么可能成为XSS安全漏洞?
http://mootools.net/docs/core/Utilities/JSON
'+ 1'为您的答案。无论如何,只是供参考__ [今天去掌握](https://github.com/mootools/mootools-core/commit/2769c9d6f3d7ac8421a57f453ecccd1b7f360bfc)__这个问题的更正。它将与MooTools 1.5一起发货,预计在未来几天发布。 – Sergio
酷!很高兴看到MooTools的前端仍然活着 - 我一直认为该项目已经转移到Node.js和MooTools Prime – Funktr0n