我有问题将包含双引号的json字符串转换回JSON.parse()中的javascript对象。以下是详细信息。
我在nodejs app.js中的变量groupdata中保存了一个对象
[{"_id":"56adb85319dec52455d11c21","fullName":"NY Metro Office 365 What New\" group","createdAt":"2015-08-25T17:03:59.000Z","stats":{"members":65}}]
在我的nodejs app.js代码中,groupdata对象作为json字符串传递给客户端。
function doRender() {
res.render('groupdata', {
'groupdata': JSON.stringify(groupdata)
});
}
我的客户端代码首先尝试通过函数htmlDecode()阻止XSS攻击,然后JSON.parse()一个有效的json字符串来对象。
JSON.parse(test1)将成功。
JSON.parse(test2)将失败,如下面的错误
function htmlDecode(input){ //prevent XSS attack;
var e = document.createElement('div');
e.innerHTML = input;
return e.childNodes.length === 0 ? "" : e.childNodes[0].nodeValue;
}
console.log('groupdata: ' + "<%= groupdata %>");
var test1 = htmlDecode("<%= (groupdata) %>");
console.log('test1: ' + test1);
var test2 = htmlDecode("<%= JSON.stringify(groupdata) %>");
console.log('test2: ' + test2);
JSON.parse(test1); // Succeed if only test1 value contains no double quote
JSON.parse(test2); // ERROR: Uncaught SyntaxError: Unexpected token _
控制台登录客户端chrome浏览器:
groupdata: [{"_id":"56adb85319dec52455d11c21","fullName":"NY Metro Office 365 What New" group","createdAt":"2015-08-25T17:03:59.000Z","stats":{"members":65}}]
test1: [{"_id":"56adb85319dec52455d11c21","fullName":"NY Metro Office 365 What New" group","createdAt":"2015-08-25T17:03:59.000Z","stats":{"members":65}}]
test2: "[{"_id":"56adb85319dec52455d11c21","fullName":"NY Metro Office 365 What New\" group","createdAt":"2015-08-25T17:03:59.000Z","stats":{"members":65}}]"
问题:在这种情况下,如何将带双引号的json字符串转换为javascript对象?
答案 0 :(得分:0)
事实证明,EJS有自己的htmlescape方法来防止XSS攻击
<script type="text/javascript">
var groupdata = <%- JSON.stringify(groupdata); %>
</script>
这很简单干净。再次感谢@migg的评论。