My<cod/>.net
Безопасно ли вставлять JSON в HTML
Просмотров: 338
Ответов: 3
Безопасно ли вставлять JSON со строками, полученными от пользователя, непосредственно в код страницы через тег script? Нельзя ли при этом с помощью специальных html-последовательностей нарушить JSON, сделав XSS? JSON генерируется PHP-функцией json_encode.
Пример.
$queryData = json_encode(array('query' => isset($_GET['query']) ? $_GET['query'] : '', ...));
Шаблон страницы:
<script type="text/javascript">
<?php echo 'var queryData = ' . $queryData . ';' ?>
</script>
$queryData = json_encode(array('query' => isset($_GET['query']) ? $_GET['query'] : '', ...));<script type="text/javascript">
<?php echo 'var queryData = ' . $queryData . ';' ?>
</script>
<?php
echo json_encode(array('tzt'=>'\'')); // выдаёт {"tzt":"'"}
echo json_encode(array('tzt'=>'\"')); // выдаёт {"tzt":"\""}
echo json_encode(array('tzt'=>'</script>')); // выдаёт {"tzt":"<\/script>"}
echo json_encode(array('tzt'=>'<\\/script>')); // выдаёт {"tzt":"<\\\/script>"}
echo json_encode(array('tzt'=>"\x0")); // выдаёт {"tzt":"\u0000"}
?>
Кажется, нет способов нарушить JSON. Зато я только что нарушил парсер Хабрахабра: в последних «"»-кавычках (в комментарии) вместо пустого места должно отображаться «\u» и за ним сразу «0000».
<?php
echo json_encode(array('tzt'=>'\'')); // выдаёт {"tzt":"'"}
echo json_encode(array('tzt'=>'\"')); // выдаёт {"tzt":"\""}
echo json_encode(array('tzt'=>'</script>')); // выдаёт {"tzt":"<\/script>"}
echo json_encode(array('tzt'=>'<\\/script>')); // выдаёт {"tzt":"<\\\/script>"}
echo json_encode(array('tzt'=>"\x0")); // выдаёт {"tzt":"\u0000"}
?>