Ist die Desinfektion der JSON notwendig?

Ich denke, es ist eine bekannte best practice, die auf der web-Misstrauen, jede Eingabe. Der Satz

"All input is evil."

ist wahrscheinlich die am häufigsten zitierten Zitat mit Bezug auf input-Validierung. Nun, für HTML können Sie mit tools wie DOMPurify zu desinfizieren.

Meine Frage ist, wenn ich eine Node.js server mit Express und Körper-parser middleware zu empfangen und zu analysieren, JSON, brauche ich, um eine Hygienisierung?

Meine (vielleicht naive?) Gedanken hierzu sind, dass JSON ist, nur Daten, kein code, und wenn jemand sendet ungültige JSON -, Körper-parser (nutzt JSON.parse() intern) wird nicht ohnehin, so weiß ich, dass meine app erhalten Sie ein gültiges JavaScript-Objekt. Solange ich nicht ausführen, eval auf, oder rufen Sie eine Funktion auf, ich sollte in Ordnung sein, sollte ich nicht?

Bin ich etwas fehlt?

Es klingt für mich wie body-parser ist bereits Hygienisierung der Eingang, so sollten Sie nicht brauchen, um so selbst zu tun. Auf der anderen Seite, es gibt keinen Schaden in-Eingang wird doppelt steril, es sei denn, es ist ein performance-Engpass.

InformationsquelleAutor Golo Roden | 2014-09-22

  1. 16

    Seit JSON.parse() läuft nicht jeder code, in dem Daten analysiert werden, so ist es nicht anfällig Weg eval() ist, aber es gibt immer noch Dinge, die Sie tun sollten, zu schützen, die Integrität Ihrer server und Anwendungen wie:

    1. Gelten Ausnahme-Handler an die entsprechende Stelle als JSON.parse() kann eine exception werfen.
    2. Nicht machen Annahmen darüber, welche Daten vorhanden sind, müssen Sie explizit nach Daten prüfen, bevor Sie es.
    3. Nur Bearbeiten, Eigenschaften, die Sie suchen speziell für (vermeiden Sie andere Dinge, die möglicherweise in das JSON).
    4. Überprüfen Sie alle eingehenden Daten, die als legitim anerkannten Werte.
    5. Desinfizieren Sie die Länge der Daten (um zu verhindern, dass DOS Probleme mit zu großen Daten).
    6. Nicht setzen diese eingehenden Daten zu Orten, wo es sein könnte, ist weiter zu prüfen, wie direkt in den HTML-Code der Seite oder injiziert direkt in SQL-Anweisungen ohne weitere Bereinigung, um sicherzustellen, es ist sicher für die Umwelt.

    Also, um Ihre Frage zu beantworten, direkt, "ja" es gibt mehr zu tun als nur mit Körper-parser aber es ist ein völlig in Ordnung, front-line für die erste Verarbeitung der Daten. Die nächsten Schritte für das, was Sie mit den Daten machen, wenn Sie es bekommen von Körper-parser nicht egal, in vielen Fällen kann die zusätzliche Sorgfalt erfordern.

    Als ein Beispiel, hier ist eine parsing-Funktion, die erwartet, dass ein Objekt mit Eigenschaften, gilt, dass einige dieser Prüfungen und gibt Ihnen eine gefilterte Ergebnis, dass nur die Eigenschaften enthält, die Sie erwartet hatten:

    //pass expected list of properties and optional maxLen
//returns obj or null
function safeJSONParse(str, propArray, maxLen) {
    var parsedObj, safeObj = {};
    try {
        if (maxLen && str.length > maxLen) {
            return null;
        } else {
            parsedObj = JSON.parse(str);
            if (typeof parsedObj !== "object" || Array.isArray(parsedObj)) {
                safeObj = parseObj;
            } else {
                //copy only expected properties to the safeObj
                propArray.forEach(function(prop) {
                    if (parsedObj.hasOwnProperty(prop)) {
                        safeObj[prop] = parseObj[prop];
                    }
                });
            }
            return safeObj;
        }
    } catch(e) {
        return null;
    }
}

    InformationsquelleAutor jfriend00

  2. 5

    Sollten Sie in Ordnung sein. Frühe Anwender von JSON oft aufrufen von eval() auf den empfangenen string, das ist natürlich eine riesige Sicherheitslücke. Aber JSON.analysieren, wie Sie Stand, Griffen die Mehrheit der diese Arten von Plausibilitätsprüfungen.

    So lange, wie Sie sicher nicht nehmen, etwas aus einer empfangenen JSON-Objekt und übergeben Sie es direkt in eine sql-Abfrage, zum Beispiel, sollten Sie in Ordnung sein.

    Der Hinweis mit der nicht vorbei, der etwas aus einer empfangenen JSON direkt in ein SQL-query ist besonders wertvoll, vielen Dank dafür :-)!

    InformationsquelleAutor Chris Tavares

  3. 2

    Solange Sie mit JSON.parse kein code ausgewertet werden

    Sollten Sie noch whitelist alle Schlüssel /Wert-Paare, die Sie akzeptieren möchten, aus dem Analyseergebnis obwohl

    Einige polyfills von JSON.parse (wie Crockford ' s json2.js) verwenden eval.
    Danke für die Erwähnung, aber die Lösung ist einfach: nicht benutzen.
    neben dieser Frage ist insbesondere über code, verwendet die tatsächliche JSON.parse() im node.js. Es gibt keine polyfills hier beteiligt.

    InformationsquelleAutor user633183

Schreibe einen Kommentar