通过网络request返回的response,如果是列表之类的字符串。
很多人会通过eval来将字符串转为列表、字典等。
但这是非常危险的!
因为,返回的如果是不可信、不受控的信息,例如返回“os.system(‘rm / -rf’)”,那eval就会执行格式化电脑的操作!
官方给了解决方案
import ast
ast.literal_eval("{'muffin' : 'lolz', 'foo' : 'kitty'}")literal_eval的输入,如果不是列表、字典等合法输入,就会拒绝它,从而避免被攻击。