我正在使用Backbone.js和Tornado Web服務器。在Backbone中接收集合數據的標準行爲是作爲JSON數組發送。JSON劫持在現代瀏覽器中仍然是個問題嗎?
在另一方面,龍捲風的標準行爲是不允許的JSON陣列的由於以下漏洞:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
一個相關的一個是: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
感覺更自然的我當它真的是一個對象列表時,不必將我的JSON包裝在一個對象中。
我無法在現代瀏覽器(即當前的Chrome,Firefox,Safari和IE9)中再現這些攻擊。同時,我無法確認現代瀏覽器解決這些問題的任何地方。
爲了確保我不會被任何可能的差的編程技巧也不差google搜索技巧誤導:
這些是JSON劫持攻擊仍然是一個問題在今天的現代瀏覽器?
(注:對不起,我可能重複到:Is it possible to do 'JSON hijacking' on modern browser?但由於接受的答案似乎並沒有回答這個問題 - 我想是時候再次詢問,並得到了一些更清晰的解釋)
使用eval?那麼否則可能否。如果沒有任何被改變或改變的方式骨幹分析響應,那麼你應該是安全的 – Deeptechtons 2013-05-03 07:20:58
一般來說,你應該永遠不要接近網絡安全,假設有人將使用「現代」瀏覽器。 – Luke 2013-05-03 14:16:18
@Luke - 請參閱下面對Reid的評論。一般的偉大點 - 但我不是要求一個普遍的安全問題。 (我的用戶只能在首先使用現代瀏覽器的情況下進行身份驗證。) – Rocketman 2013-05-04 17:05:13