Est de désinfection JSON nécessaire?

Je pense que c'est une bonne pratique bien connue sur le web de méfiance à l'égard de l'entrée. La phrase

"Toute entrée est mal."

est probablement le plus cité citation à l'égard de validation de l'entrée. Maintenant, pour le HTML, vous pouvez utiliser des outils tels que DOMPurify à désinfecter.

Ma question est, si j'ai un Node.js serveur exécutant Express et corps de l'analyseur middleware pour recevoir et d'analyser JSON, ai-je besoin pour exécuter toute la désinfection ainsi?

Mon (peut-être naïf?) pensées sur ce sont que JSON est seulement les données, pas de code, et si quelqu'un envoie invalid JSON, corps-analyseur (qui utilise JSON.parse() en interne) ne pourra pas de toute façon, je sais que mon application sera un objet JavaScript. Tant que je n'ai pas l'exécuter eval sur qui ou appeler une fonction, je doit être fine, ne devrais-je pas?

Suis-je raté quelque chose?

Il me semble que le corps-analyseur est déjà la désinfection de l'entrée, de sorte que vous ne devriez pas avoir à le faire vous-même. D'autre part, il n'y a pas de mal à entrée étant doublement aseptisé, sauf si c'est un goulot d'étranglement des performances.

OriginalL'auteur Golo Roden | 2014-09-22

  1. 15

    Depuis JSON.parse() ne pas exécuter n'importe quel code dans les données pour être analysé, de sorte qu'il n'est pas vulnérable à la manière eval() est, mais il ya encore des choses que vous devriez faire pour protéger l'intégrité de votre serveur et des applications telles que:

    1. Appliquer des gestionnaires d'exception à l'endroit approprié comme JSON.parse() peut lever une exception.
    2. Ne pas faire de suppositions sur ce que les données sont là, vous devez explicitement tester les données avant de l'utiliser.
    3. Seulement des propriétés du processus que vous recherchez spécifiquement (pour éviter d'autres choses qui pourraient être dans le JSON).
    4. Valider toutes les données entrantes comme légitime, des valeurs acceptables.
    5. Désinfecter la longueur des données (pour éviter les problèmes de DOS avec trop de données de grande taille).
    6. Ne pas mettre cette entrant des données dans des endroits où elle pourrait être évalué comme directement dans le code HTML de la page ou directement injecté dans les instructions SQL sans plus de nettoyage pour s'assurer qu'il est sécuritaire pour l'environnement.

    Donc, pour répondre directement à votre question, "oui" il n'y a plus à faire que de simplement à l'aide du corps de l'analyseur même s'il est parfaitement bien de première ligne pour le premier traitement des données. Les prochaines étapes pour ce que vous faites avec les données une fois que vous obtenez à partir de corps-analyseur de la matière dans de nombreux cas, et peut besoin de plus d'attention.

    Comme un exemple, voici une fonction d'analyse syntaxique qui attend un objet avec des propriétés qui s'applique certaines de ces vérifications et vous donne un résultat filtré qui ne contient que les propriétés que vous attendiez:

    //pass expected list of properties and optional maxLen
//returns obj or null
function safeJSONParse(str, propArray, maxLen) {
    var parsedObj, safeObj = {};
    try {
        if (maxLen && str.length > maxLen) {
            return null;
        } else {
            parsedObj = JSON.parse(str);
            if (typeof parsedObj !== "object" || Array.isArray(parsedObj)) {
                safeObj = parseObj;
            } else {
                //copy only expected properties to the safeObj
                propArray.forEach(function(prop) {
                    if (parsedObj.hasOwnProperty(prop)) {
                        safeObj[prop] = parseObj[prop];
                    }
                });
            }
            return safeObj;
        }
    } catch(e) {
        return null;
    }
}

    OriginalL'auteur jfriend00

  2. 4

    Vous devriez être bien. Les premiers utilisateurs de JSON souvent appel à eval() sur la chaîne reçue, ce qui est évidemment un énorme trou de sécurité. Mais JSON.analyser, comme vous le dites, s'occupe de la plupart de ces types de vérifications.

    Aussi longtemps que vous vous assurez de ne pas prendre quelque chose hors de réception d'un objet JSON et passer directement dans une requête sql, par exemple, vous devriez être bien.

    L'astuce à ne pas passer à quelque chose d'un reçu JSON directement dans une requête SQL est particulièrement précieux, merci pour ça :-)!

    OriginalL'auteur Chris Tavares

  3. 2

    Aussi longtemps que vous utilisez JSON.parse pas de code seront évalués

    Vous devez toujours en liste blanche toute clé:valeur des paires que vous voulez accepter de le résultat de l'analyse si

    Certains polyfills de JSON.parse (comme Crockford json2.js) n'utilisez eval.
    Merci pour la mention, mais la solution est simple: ne pas l'utiliser.
    en outre, cette question est plus précisément sur le code qui utilise la réelle JSON.parse() dans node.js. Il n'y a pas polyfills en cause ici.

    OriginalL'auteur user633183