1.代码示例<?php
$std = new stdClass();
$std->one = "what's wrong";?><script type="text/javascript">
var jsTest = <?php echo json_encode($std); ?>; //写法1
//var jsTest = JSON.parse('<?php echo json_encode($std); ?>'); //写法2</script>2.问题描述在以上的代码中,变量jsTest实际上已经是一个对象了。但由于php的json_encode输出的是一个json字符串,正常写法应该是我注释掉的写法2,但是由于对象$std中的一个属性是带有单引号的,所以写法2中,无论JSON.parse中使用单双引号解析,都会报错(1)问题1:写法1中,是由于js内核解析的原因导致php输出的json字符串实际上被强制转换成了js能解析的对象的吗(2)问题2:如果js脚本中要正常得到对象$std,除开写法1还有其它的写法吗
1 回答
BIG阳
TA贡献1859条经验 获得超6个赞
PHP在<script></script>里输出数据给JS表达式时,为了避免恶意构造破坏JS表达式,建议在JSON编码时将特殊字符(尖括号,单引号,双引号,&)转为Unicode字符后输出.
<script>
<?php
$arr = array(
//右边的注释是经过下面的json_encode编码后的结果
'HTML特殊字符(< > \' " &)', // "HTML\u7279\u6b8a\u5b57\u7b26(\u003C \u003E \u0027 \u0022 \u0026)"
'<script>alert()</script>', // "\u003Cscript\u003Ealert()\u003C\/script\u003E"
'\u003cimg src=1 onerror=alert(/xss/)\u003e', // "\\u003cimg src=1 onerror=alert(\/xss\/)\\u003e"
'\x3Cimg src=1 onerror=alert(/xss/)\x3E', // "\\x3Cimg src=1 onerror=alert(\/xss\/)\\x3E"
);
?>
var json = <?php echo json_encode($arr, JSON_HEX_TAG|JSON_HEX_APOS|JSON_HEX_QUOT|JSON_HEX_AMP); ?>;
</script>
添加回答
举报
0/150
提交
取消