JSONの文字コードってどういう扱いになるんだ？扱っている文字コードの違いでXSSが発生しないのかなぁ？

JSONって、受け取ったデータをeval関数の引数として使うのね。これって、データとコードの区別がつけられないから、非常に危険だと思うんですが･･･ 受け取ったデータにコードらしきものが含まれていたら、意図しないコードが実行されて非常に危険なんだけど…

XMLHttpRequestを使えば、自由に改行が操作できるみたい。 例えば、こんなScriptがあったとすると。 <script> function createHttpRequest(){ if(window.ActiveXObject){ try { return new ActiveXObject("Msxml2.XMLHTTP") } catch (e) { try { return new ActiveXO…