Moin!

wenn vorher das Standardverhalten beim Erzeugen neuer Objekte ein wenig abgeändert wurde

Das funktioniert allerdings nur in einigen Browsern, und die haben es mittlerweile aus Sicherheitsgründen deaktiviert.

Das sollte trotzdem kein Grund sein, es nicht dennoch aktiv zu verhindern. :)

Das verhindert man am einfachsten, indem man den JSON-String in einen Javascript-Kommentar setzt, und diese Kommentarzeichen per String-Operation vor dem eval() wieder entfernt.

Der Kommentar müsste das JSON ja »kaputt« machen, sodass es kein ausführbares JavaScript mehr ist. Also kein (korrekter) JavaScript-Kommentar, sondern <blablub>...</blablub>, crashme();, throw "nönö!"; oder so etwas.

Eben:

/* [JSON-String] */

Den Code kann man nicht per <script> ausführen lassen.

Am besten verhindert man solche Angriffe mit serverseitigem CSRF-Schutz, der auch viele andere Fälle abdeckt.

Tja, und wie macht man das? :)

- Sven Rautenberg