मैं बैकबोन.जेएस और टोरनाडो वेब सर्वर का उपयोग कर रहा हूं। बैकबोन में संग्रह डेटा प्राप्त करने के लिए मानक व्यवहार एक JSON ऐरे के रूप में भेजना है।क्या JSON हाइजैकिंग अभी भी आधुनिक ब्राउज़र में एक मुद्दा है?
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
इससे संबंधित एक से एक है: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
यह मेरे लिए और अधिक प्राकृतिक महसूस करता है
दूसरी ओर, तूफान के मानक व्यवहार JSON सारणी के निम्न जोखिम की वजह से नहीं अनुमति देने के लिए है ऑब्जेक्ट में मेरी जेएसओएन को लपेटने की ज़रूरत नहीं है जब यह वास्तव में वस्तुओं की एक सूची है।
मैं आधुनिक हमलों (यानी वर्तमान क्रोम, फ़ायरफ़ॉक्स, सफारी, और आईई 9) में इन हमलों को पुन: उत्पन्न करने में असमर्थ था। साथ ही मैं कहीं भी पुष्टि करने में असमर्थ था कि आधुनिक ब्राउज़र ने इन मुद्दों को संबोधित किया था।
सुनिश्चित करने के लिए है कि मैं किसी भी संभावित गरीब प्रोग्रामिंग-कौशल है और न ही गरीब Googling-कौशल द्वारा गुमराह नहीं कर रहा हूँ:
इन JSON अपहरण हमलों अभी भी आधुनिक ब्राउज़रों में एक मुद्दा आज कर रहे हैं?
(नोट: करने के लिए संभव डुप्लिकेट के लिए खेद है:। Is it possible to do 'JSON hijacking' on modern browser? लेकिन जब से स्वीकार किए जाते हैं जवाब सवाल का जवाब नहीं लगता है - मैंने सोचा कि यह इसे फिर से पूछने के लिए और कुछ स्पष्ट स्पष्टीकरण प्राप्त करने के लिए समय आ गया है)
eval का उपयोग कर? फिर अन्यथा संभव नहीं। अगर बैकबोन पार्स प्रतिक्रिया में कुछ भी नहीं बदला गया है या बदला गया है तो आपको सुरक्षित होना चाहिए – Deeptechtons
आम तौर पर, आपको कभी भी इस बात के साथ वेब सुरक्षा से संपर्क नहीं करना चाहिए कि कोई "आधुनिक" ब्राउज़र का उपयोग करने जा रहा है। – Luke
@Luke - रीड पर टिप्पणी के नीचे देखें। सामान्य रूप से महान बिंदु - लेकिन मैं एक सामान्य सुरक्षा प्रश्न नहीं पूछ रहा हूं। (मेरे उपयोगकर्ता केवल पहले ही एक आधुनिक ब्राउज़र का उपयोग कर रहे हैं तो प्रमाणित करने में सक्षम होंगे।) – Rocketman