为了账号安全,请及时绑定邮箱和手机立即绑定

JSON劫持仍然是现代浏览器中的问题吗?

JSON劫持仍然是现代浏览器中的问题吗?

繁花如伊 2019-11-07 12:41:41
我正在使用Backbone.js和Tornado Web服务器。在Backbone中接收收集数据的标准行为是作为JSON数组发送。另一方面,由于以下漏洞,Tornado的标准行为是不允许JSON Array:http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx一个相关的是:http : //haacked.com/archive/2009/06/25/json-hijacking.aspx对于我来说,当它确实是一个对象列表时,不必将JSON包装在一个对象中就变得更加自然。我无法在现代浏览器(即当前的Chrome,Firefox,Safari和IE9)中重现这些攻击。同时,我无法证实现代浏览器已经解决了这些问题。为确保我不会被任何可能的编程技巧和谷歌搜索技巧所误导:这些JSON劫持攻击是否在当今的浏览器中仍然是一个问题?(注意:很抱歉,可能存在以下重复项:是否可以在现代浏览器中进行“ JSON劫持”? 但是由于接受的答案似乎无法回答问题-我认为是时候再次提出问题并获得一些更清晰的解释)
查看完整描述

3 回答

?
拉莫斯之舞

TA贡献1820条经验 获得超10个赞

当您的语句仅涉及数组构造函数的覆盖时,您的语句是正确的。但是,Microsoft的IE和Edge仍然容易受到UTF-7 JSON劫持的攻击。最近对其进行了测试(今天又很有趣),并且仍然有效。

查看完整回答
反对 回复 2019-11-07
  • 3 回答
  • 0 关注
  • 633 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信