最近我读了一些关于'JSON劫持'的文章,其中一些是在这里.
所以,我尝试在我的浏览器,Chrome 17(dev),Firefox 8和IE8上进行以下操作.
但我无法对(文字)JSON数据做任何事情.
"JSON劫持"问题是否都在现代浏览器上解决了?或者我该如何重现它?
小智 2
这与解析 JSON 的合法应用程序无关 - JSON 劫持是一个信息泄露问题,涉及当用户登录到通常使用 api 的应用程序时,某些恶意方请求您的 JSON 数据而不是真正的应用程序。简单的身份验证没有帮助 - 因为浏览器会免费发送身份验证信息,例如 auth-cookie :-/。
但使用 ES5,大多数当前的浏览器将不再直接受到此问题的影响。尽管如此,纵深防御规则!并且也可以防止未来的问题或回归等。
| 归档时间: |
|
| 查看次数: |
2064 次 |
| 最近记录: |