在DOM中嵌入任意JSON的最佳实践？

Posted 2021-03-28

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了在DOM中嵌入任意JSON的最佳实践？相关的知识，希望对你有一定的参考价值。

我正在考虑在DOM中嵌入任意JSON，如下所示：

<script type="application/json" id="stuff">
    {
        "unicorns": "awesome",
        "abc": [1, 2, 3]
    }
</script>

这类似于可以在DOM中存储任意html模板以供以后与javascript模板引擎一起使用的方式。在这种情况下，我们以后可以检索JSON并使用以下方法解析它：

var stuff = JSON.parse(document.getElementById('stuff').innerHTML);

This works，但这是最好的方式吗？这是否违反任何最佳做法或标准？

注意：我不是在寻找在DOM中存储JSON的替代方法，我已经确定这是我遇到的特定问题的最佳解决方案。我只是在寻找最好的方法。

答案

我认为你原来的方法是最好的。 HTML5规范甚至解决了这个问题：

“当用于包含数据块（而不是脚本）时，数据必须内联嵌入，数据格式必须使用type属性给出，不得指定src属性，并且脚本元素的内容必须符合为所用格式定义的要求。“

在这里阅读：http://dev.w3.org/html5/spec/Overview.html#the-script-element

你完全是这样做的。什么不爱？属性数据不需要字符编码。您可以根据需要对其进行格式化。它具有表现力，预期用途很明确。它不像是一个黑客（例如使用CSS来隐藏你的“载体”元素）。这完全有效。

另一答案

作为一般方向，我会尝试使用HTML5 data attributes代替。没有什么可以阻止你输入有效的JSON。例如。：

<div id="mydiv" data-unicorns='{"unicorns":"awesome", "abc":[1,2,3]}' class="hidden"></div>

如果你正在使用jQuery，那么检索它就像下面这样简单：

var stuff = JSON.parse($('#mydiv').attr('data-unicorns'));

另一答案

这种在脚本标记中嵌入json的方法存在潜在的安全问题。假设json数据源自用户输入，则可以创建一个数据成员，该成员实际上会脱离脚本标记并允许直接注入dom。看这里：

http://jsfiddle.net/YmhZv/1/

这是注射

<script type="application/json" id="stuff">
{
    "unicorns": "awesome",
    "abc": [1, 2, 3],
    "badentry": "blah </script><div id='baddiv'>I should not exist.</div><script type="application/json" id='stuff'> ",
}
</script>

没有办法绕过/编码。

另一答案

我建议将JSON放入带有函数回调的内联脚本中（类似于JSONP）：

<script>
someCallback({
    "unicorns": "awesome",
    "abc": [1, 2, 3]
});
</script>

如果在文档之后加载执行脚本，您可以将其存储在某处，可能还有一个额外的标识符参数：someCallback("stuff", { ... });

另一答案

请参阅OWASP的XSS预防备忘单中的Rule #3.1。

假设您要在HTML中包含此JSON：

{
    "html": "<script>alert("XSS!");</script>"
}

在HTML中创建隐藏的<div>。接下来，通过编码不安全的实体（例如，＆，，“，和，和/）来转义您的JSON，并将其放在元素中。

<div id="init_data" style="display:none">
        {&#34;html&#34;:&#34;&lt;script&gt;alert(&#34;XSS!&#34;);&lt;/script&gt;&#34;}
</div>

现在，您可以通过使用JavaScript读取元素的textContent并解析它来访问它：

var text = document.querySelector('#init_data').textContent;
var json = JSON.parse(text);
console.log(json); // {html: "<script>alert("XSS!");</script>"}

另一答案

我的建议是将JSON数据保存在外部.json文件中，然后通过Ajax检索这些文件。你没有把CSS和JavaScript代码放到网页上（内联），那你为什么要用JSON呢？

以上是关于在DOM中嵌入任意JSON的最佳实践？的主要内容，如果未能解决你的问题，请参考以下文章

更新片段参数的最佳实践？

在片段和活动之间进行通信 - 最佳实践

通过c#代码检索存储在sql表中的Json值的最佳实践

在另一个活动托管的片段之间传递数据的最佳实践

Ruby Slim - 在 DOM 属性中嵌入 JSON

android片段-数据传递-最佳实践[重复]