那些遇到过的问题

哪个更安全,为什么是JSON或XML

Nik*_*wal 7 java xml json web-services java-ee

我想在Java EE中实现Web服务,其响应将是一个JSON.这是我第一次尝试这样做但在此之前我只是想知道JSON是否存在任何安全问题,因为在我阅读的许多博客中都提到了类似"JSON与XML相比不安全".JSON具有易用,速度快等优点.

所以任何人都可以向我解释JSON是否真的不安全.如果是这样的话.请举例说明.

关于这个主题有几篇旧文章:

JSON vs XML - 2006

  • 担心 eval

JSON并不像人们想象的那么安全

  • 仅声称对通过JSON提供的非公共数据的保护是使用唯一的URL.
  • CSRF(Cross Site Request Fogery) - 2007年
  • Array 黑客通过浏览器解析JavaScript解析.

And*_*niy 22

这是无稽之谈.这两种,jsonxml只是针对结构化数据的表示方法.它们都不能被视为"更安全"或"安全性更低".

  • @nikhil,问题在于Javascript,而不是json或xml. (3认同)
  • xml 不仅仅是一种数据表示形式,它还可以包含可在攻击向量中使用的处理指令。请参阅[Billion Laughs](http://en.wikipedia.org/wiki/Billion_laughs) 攻击和[外部实体扩展](https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing)。即使流行的框架也存在[XML解析安全问题](http://www.gopivotal.com/security/cve-2013-4152) (3认同)

Eli*_*nti 10

JSON和XML之间没有明显的安全性.人们提到的关于JSON的"不安全感"与JSON可以(但绝不应该)在Javascript中解析的方式有关.

JSON基于javascript中编码对象的语法,因此在javascript中评估JSON结果会返回一个有效的对象.

这可能会打开JSON到各种JavaScript注入攻击.

解决此问题的方法:不要使用eval()来解析javascript中的JSON,使用JSON解析器并修复服务器中允许在响应中使用未转义的用户生成内容的任何安全问题.

归档时间:

查看次数:

6560 次

最近记录:

8 年,5 月 前
在JavaScript中解析JSON? 1642
XML vs YAML vs JSON 26
更多相关链接
相关归档
将Vim用作Java IDE的提示? 195
番石榴:为什么没有Lists.filter()函数? 86
检查Java中的集合是否为空:哪种方法最好? 69
为什么int-to-Object比较在Java 7中有效,而在Java 8中无效? 61
如何在不重新编译的情况下动态切换.NET中的Web服务地址? 59
如何在Python中针对DTD文件验证xml 30
Odata查询outlook rest api 9
HTML Agility Pack查找以.开头的ID 7
如何使用SvcUtil.exe生成WCF服务 7
Python:xml ElementTree(或lxml)中的命名空间 6
难疑归档
如何解决Git中的合并冲突 4600
使用Git将特定文件重置或还原到特定版本? 4255
在Git中只提交文件的一部分 2629
什么是C ??!??!操作员呢? 1911
如何在Bash中的分隔符上拆分字符串? 1885
使用jQuery中止Ajax请求 1775
如何分析在Linux上运行的C++代码? 1732
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
如何通过curl调用使用HTTP请求发送标头? 1328
什么是首选的Bash shebang? 1051