給定一個用戶提供的 JSON 字符串，我們?nèi)绾卧谶\行之前JSON.parse(untrustedString)對其進(jìn)行清理？我主要擔(dān)心的是原型污染，但我也想知道我還應(yīng)該注意什么？如果只是原型污染有風(fēng)險，那么我認(rèn)為可以通過正則表達(dá)式處理，但我懷疑還有其他問題？例如，這篇關(guān)于解析不受信任的 JSON 然后創(chuàng)建對象副本的危險的文章。:現(xiàn)在考慮發(fā)送到此端點的一些惡意 JSON 數(shù)據(jù)。{  "user": {    "__proto__": {      "admin": true    }  }} 如果發(fā)送此 JSON，JSON.parse將生成一個具有屬性的對象 __proto__。如果復(fù)制庫按上述方式工作，它將把 admin 屬性復(fù)制到 req.session.user!