Pla*_*nky 11 javascript security json angularjs
在阅读有关如何避免json劫持的内容时,我遇到了各种方法,包括POST一切或预先响应,因此它们不是有效的JavaScript.
最常见的前置方式似乎是添加{} &&到对象或数组前面.Angular建议先用)]}',\n.
为什么棱角不使用更标准的{} &&方法?一个人不完全安全吗?在JavaScript中更难使用吗?除了角度之外,采用不那么受欢迎的方法是否有充分的理由?
任何阻止 JSON 响应被解析为 JavaScript 对象或数组的行为都将阻止这种 JSON 劫持方法。
请参阅这篇文章,了解一些确保 JSON 安全的方法。
然而,正如这个答案所述,自 Firefox 3 以来,这并不是真正的问题。
谷歌使用“不可解析的[cruft]”来防御此类攻击。需要注意的是,这个漏洞在firefox 3中已经被修复,这个漏洞是由于浏览器对json规范的篡改而产生的。
在撰写本文时,Google 似乎已将)]}'其来自 Gmail 的回复添加到前面。
| 归档时间: |
|
| 查看次数: |
1605 次 |
| 最近记录: |