[PYTHON] Gestion des chaînes de caractères dans la communication JSON

Manuel japonais dans la communication json

En raison des spécifications json, le japonais n'a pas besoin d'être un échappement unicode Si vous n'échappez pas à unicode, ce n'est pas bon pour les fuites de confidentialité, mais ce n'est pas bon car il peut être décodé s'il est décodé. Même dans ce cas, une sécurité telle que XSS est acceptable car vous pouvez échapper à la chaîne de caractères de contrôle avec la marque \ (→ Que voulez-vous dire?)

↓ C'est ce que tu veux dire. Scripts intersites

En enregistrant les données incluses dans l'étiquette de script, les données peuvent être lues comme une étiquette de script dans le navigateur et un script invalide peut être exécuté. La chaîne de contrôle doit donc être échappée.

• Détournement de session
• L'étiquette du formulaire de saisie est intégrée et les informations personnelles sont volées. --Afficher de fausses informations sur la page Web --Opération forcée sur la page Web

Problème d'échappement Unicode japonais python

bibliothèque standard json

La japonaisisation peut être réalisée par json.dumps (str, ensure_ascii = False).

Si> ensure_ascii est true (valeur par défaut), la sortie garantit que tous les caractères non ASCII saisis sont échappés. Si ensure_ascii est faux, ces caractères seront imprimés tels quels.

Cependant, si l'implémentation ci-dessus est utilisée, la chaîne de caractères de contrôle ne sera pas échappée, ce qui crée une vulnérabilité.

MUST be escaped Spécifications JSON Code du caractère de contrôle

the characters MUST be escaped: ※quotation mark, reverse solidus, and the control characters (U+0000 through U+001F).