我使用的是Backbone.js和Tornado web服务器。在Backbone中接收收集数据的标准行为是作为JSON数组发送。
另一方面,Tornado的标准行为是由于以下漏洞而不允许JSON数组:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
与之相关的是:http://haacked.com/archive/2009/06/25/json-hijacking.aspx
对我来说,当JSON实际上是一个对象列表时,不必将JSON包装在对象中,这感觉更自然。
我无法在现代浏览器(即当前的Chrome、火狐、Safari和IE9)中重现这些攻击。同时,我无法在任何地方确认现代浏览器已经解决了这些问题。
为了确保我既不会被糟糕的编程技能所误导,也不会被谷歌搜索技能所误导:
在现代浏览器中,这些劫持攻击仍然是一个问题吗?
(注:很抱歉可能重复到:Is it possible to do 'JSON hijacking' on modern browser?,但由于接受的答案似乎没有回答问题-我认为是时候再问一次,并获得一些更清晰的解释。)
https://stackoverflow.com/questions/16289894
复制相似问题