Pur*_*ret 6 javascript security json angularjs
angular网站建议为JSON添加前缀)]}'\n,以防止它们被称为JSONP:
JSON漏洞允许第三方网站在某些情况下将您的JSON资源URL转换为JSONP请求.为了解决这个问题,您的服务器可以使用以下字符串")]}',\n"为所有JSON请求添加前缀.Angular会在将前缀作为JSON处理之前自动删除前缀.
但引用的文章没有提到这些结束括号,并且感觉这很容易解决(因为我的JSONView chrome插件已被修补以去除它们.为什么这不适用于'攻击者'? ).
相反,本文建议将JSON包装为对象:
{"d": ["Philha", "my-confession-to-crimes", 7423.42]}
以某种方式保护你.
为什么AngularJS喜欢这种(奇数)保护,它有效吗?我不确定如何测试这个.
为什么这对"攻击者"不起作用?
要删除字符,您必须有权访问文件的原始内容.
Chrome扩展程序可以访问它.指向<script>原始文件的人没有.
为什么AngularJS喜欢这种(奇数)保护,
因为它有效;)
它有效吗?
是.当文件被视为JavaScript时,它将在第1行到达数组之前抛出错误.这将阻止它尝试评估数组,因此覆盖的Array构造函数将无法从中读取数据.
令人高兴的是,安全问题似乎只存在于非常古老的Firefox版本中,因此您可能根本不需要担心这一点.