11
最近我看了一些關於'JSON劫持'的文章,其中一些是here。是否有可能在現代瀏覽器上執行「JSON劫持」?
所以,我試着在我的瀏覽器,Chrome 17(dev),Firefox 8和IE8上做下面的事情。
- 覆蓋對象或數組構造
- 修改__defineSetter__方法
- 修改defineProperty方法
但我不能做(字面)JSON數據什麼。
'JSON劫持'問題在現代瀏覽器上都解決了嗎? 或者我該如何重現它?
A
回答
1
這不是關於解析json的合法應用程序 - json劫持是一個信息泄露問題,有關某些惡意方請求您的json數據而不是真正的應用程序,而用戶通常會登錄到使用api的應用程序。簡單身份驗證無助於 - 因爲瀏覽器發送身份驗證信息,例如auth-cookie免費: - /。
但是對於ES5,大多數當前的瀏覽器不會再受此問題直接影響。儘管如此,深入的防守規則!而我對未來問題的保護或迴歸等。
0
如果您使用eval來解碼JSON,那麼理論上可能會有這樣的東西被濫用。
當瀏覽器內置JSON支持時,提供JSON解碼功能的流行JS庫默認爲JSON.parse,因此,除非您的代碼寫入不正確,否則任何最近的瀏覽器都不應受到攻擊。
+0
由於[同源策略](http://en.wikipedia.org/wiki/Same-origin_policy)的原因,解碼並不真正相關,因爲遠程域無法讀取響應。 。 – SilverlightFox 2014-01-08 09:46:47
+1
整個觀點是,同源策略不適用於腳本標記。 – 2014-08-29 12:34:03
相關問題
- 1. JSON劫持在現代瀏覽器中仍然是個問題嗎?
- 2. 是否有可能劫持標準出
- 3. 現代瀏覽器是否可以通過UDP支持HTTP
- 4. 是否有可能劫持遠程主機上的TCP連接?
- 5. 是否有可能在所有瀏覽器中實現行高一致性?
- 6. 是否有可能在瀏覽器中運行Shell腳本
- 7. 是否有瀏覽器不支持maxlength?
- 8. 是否有可能在Web瀏覽器上運行PHP的SOAP API操作
- 9. 如何從現代瀏覽器中啓動可執行文件?
- 10. 在Angular 4上,控制器是否在瀏覽器或服務器上執行?
- 11. 是否有可能擁有瀏覽器內調試器?
- 12. AWS S3瀏覽器上傳防止簽名劫持
- 13. 是否有可能在遠程服務器上執行ruby-debug?
- 14. Android瀏覽器是否能夠執行xsl轉換?
- 15. 是否有可能在瀏覽器編程標誌證書
- 16. 是否可以在瀏覽器上運行WPF應用程序?
- 17. 是否有可能添加CSS樣式只出現在特定的瀏覽器
- 18. codenameone網頁瀏覽器組件現在是否支持黑莓?
- 19. Blackberry瀏覽器是否有現有的在線模擬器?
- 20. 是否有可能在PHP代碼中跟蹤瀏覽器歷史記錄?
- 21. 是否有可能在Safari瀏覽器在iPhone上,一邊聽到iPod
- 22. 所有瀏覽器是否都支持逐行圖像顯示?
- 23. 如何檢測瀏覽器是否支持webkit瀏覽器?
- 24. 是否有PHP瀏覽器?
- 25. 是否可以瀏覽一個網站「沒有瀏覽器」?
- 26. 劫持的瀏覽器文件選擇器
- 27. Wii瀏覽器是否支持WebSockets?
- 28. iPad瀏覽器是否支持jQuery?
- 29. 檢查瀏覽器是否支持SVG
- 30. Chrome瀏覽器是否支持GWT 2.5?
+1偉大的問題。 FWIW,我無法獲得'Object.defineProperty()'或重寫'Array'在Chrome 16中工作。 – Matt 2011-12-21 09:44:53
閱讀本文http://stackoverflow.com/questions/2669690/why-does-google-prepend- while 1-to-json-responses – techouse 2014-08-29 12:13:08