JSON劫持在現代瀏覽器中仍然是個問題嗎？

Question

我正在使用Backbone.js和Tornado Web服務器。在Backbone中接收集合數據的標準行爲是作爲JSON數組發送。

在另一方面，龍捲風的標準行爲是不允許的JSON陣列的由於以下漏洞：

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx

一個相關的一個是： http://haacked.com/archive/2009/06/25/json-hijacking.aspx

感覺更自然的我當它真的是一個對象列表時，不必將我的JSON包裝在一個對象中。

我無法在現代瀏覽器（即當前的Chrome，Firefox，Safari和IE9）中再現這些攻擊。同時，我無法確認現代瀏覽器解決這些問題的任何地方。

爲了確保我不會被任何可能的差的編程技巧也不差google搜索技巧誤導：

這些是JSON劫持攻擊仍然是一個問題在今天的現代瀏覽器？

（注：對不起，我可能重複到：Is it possible to do 'JSON hijacking' on modern browser?但由於接受的答案似乎並沒有回答這個問題 - 我想是時候再次詢問，並得到了一些更清晰的解釋）

Answer 1

無，它不再是可以捕捉傳遞給[]或{}構造函數值在Firefox 21，Chrome瀏覽器27或IE 10。這裏有一個小測試頁面的基礎上，http://www.thespanner.co.uk/2011/05/30/json-hijacking/描述的主要攻擊：

http://jsfiddle.net/ph3Uv/2/

它覆蓋window.Array，並將一個setter添加到Object.prototype.foo並通過短和長格式測試數組和對象的初始化。

ES4 spec在第1.5節「要求對象和數組初始化器的全局，標準綁定用於構造對象和數組初始化器的新對象」，並且在Implementation Precedent中指出「Internet Explorer 6，Opera 9.20和Safari 3不尊重對象和數組的本地或全局重新綁定，但使用原始的對象和數組構造函數。「這保留在ES5, section 11.1.4。

Allen Wirfs-Brock explained ES5還指定對象初始化不應觸發setter，因爲它使用DefineOwnProperty。 MDN: Working with Objects指出：「從JavaScript 1.8.1開始，在對象和數組初始化器中設置屬性時不再調用setter。」這在V8 issue 1015中得到解決。