现代浏览器可以做'JSON劫持'吗?

 

这个问题在这里已经有了答案:

  • JSON劫持在现代浏览器中仍然是个问题吗? 1个答案

    • 这不是关于解析json的合法应用程序 - json劫持是一个信息泄露问题,涉及某些恶意方请求您的json数据,而不是真正的应用程序,而用户通常会登录到使用api的应用程序。 简单身份验证无助于 - 因为浏览器免费发送auth信息,例如auth-cookie: - /。

    但对于ES5,大多数当前的浏览器不会再受到这个问题的直接影响。 尽管如此,深入的防守规则! 和我对未来问题的保护或回归等。

    如果您使用eval解码JSON,那么理论上可能会遭到滥用。

    当浏览器内置JSON支持时,提供JSON解码功能的流行JS库将默认为JSON.parse ,因此除非您的代码编写不正确,否则任何最新的浏览器都不应受到攻击。

    链接地址: http://www.djcxy.com/p/8373.html

    上一篇: Is it possible to do 'JSON hijacking' on modern browser?

    下一篇: Why hasn't functional programming taken over yet?