Sto utilizzando Backbone.js e il server Web di Tornado. Il comportamento standard per la ricezione dei dati di raccolta in Backbone è quello di inviare come array JSON.JSON Hijacking è ancora un problema nei browser moderni?
D'altra parte, il comportamento standard di Tornado è di non permettere Array di JSON a causa del seguente vulnerabilità:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
A un correlato è: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
ci si sente più naturale per me non dover avvolgere il mio JSON in un oggetto quando è veramente una lista di oggetti.
Non è stato possibile riprodurre questi attacchi nei browser moderni (ovvero Chrome, Firefox, Safari e IE9 correnti). Allo stesso tempo non ero in grado di confermare da nessuna parte che i moderni browser avessero risolto questi problemi.
Per assicurarsi che non sto indurre in errore da eventuali scarsa programmazione competenze né poveri googling competenze:
sono questi attacchi JSON Hijacking ancora un problema oggi per i browser moderni?
(Nota: Ci scusiamo per l'eventuale duplicato:. Is it possible to do 'JSON hijacking' on modern browser? ma dal momento che la risposta accettata non sembra rispondere alla domanda - ho pensato che era giunto il momento di chiedere di nuovo e ottenere alcune spiegazioni più chiare)
utilizzando eval? quindi possibile altrimenti No. Se nulla è stato modificato o modificato in modo da ottenere una risposta di analisi della spina dorsale, si dovrebbe essere sicuri – Deeptechtons
In generale, non si dovrebbe mai avvicinarsi alla sicurezza Web con l'ipotesi che qualcuno utilizzi un browser "moderno". – Luke
@Luke - Vedi sotto commento a Reid. Ottimo punto in generale - ma non sto chiedendo una domanda di sicurezza generale. (I miei utenti potranno solo autenticarsi se utilizzano un browser moderno in primo luogo.) – Rocketman