个人中心
文章发布
退出
作者热门文章
- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
27
4
众所周知Facebook uses javascript responses (JS,不是 json)这是前缀 while(1) & for(;;);为了防止脚本标签在旧浏览器为 being overloaded with their Array ctor & Object ctor. 时窃取 json 数据
但是从最近的尝试来看,情况似乎不再是这样了(对于 friend 列表,我确定它被使用了)
注意现在,内容类型是:
content-type: application/octet-stream
但他们为什么要这么做?现在安全吗? (我知道它适用于较旧的浏览器,但仍然...)。
我知道 [..]的 ctor 有问题。但是{..}呢?的负责人?
问题:
为什么 facebook 删除了无限循环?他们现在如何缓解 json 劫持?
我的意思是,如果 <script> 现在会发生什么?标签将尝试获取“getFiriends”列表? (在非常旧的浏览器中)
注意
值得一提的是,对于 {..},还有其他响应具有无限循环!!:
也在这里( Object ,无限循环)
最佳答案
这种攻击(将 JSON 作为 <script> 加载)基于以下几个假设:
1) JSON 本身是有效的 JS(这就是 for(;;) 的变化),这也意味着它可能不以 { 开头因为这是一个 block 语句,不包含键值对:
{ "a": 1 } // invalid JS, valid JSON *
[{ "a": 1 }] // valid JS, valid JSON
2) 浏览器很旧 ( < 1% of the total users ),因为用文字构造数组不会调用 Array在较新的浏览器中运行(ES5 支持是对这些浏览器的一个很好的估计)。
因此,这种攻击在这种情况下是不可能的,因为您提到的 API 返回一个对象,因此 (1) 没有被完全填充。而且即使 API 会返回一个数组,理论上也只有极少数人会被劫持:
1)浏览器必须很老,然后浏览器本身可能是一个更大的风险,浏览器甚至必须支持JavaScript。
2) 客户端必须访问恶意网站,由于各级垃圾邮件过滤器/黑名单,这种情况不太可能发生。
3) 用户在访问恶意网站时必须在 facebook 上登录。
Worth to mention that there are still others responses with infinite loop
我想这通常已成为过去。重构/迁移所有 API 需要一段时间。如果您考虑 Facebook 的规模,我假设添加/删除这 5 个字符会导致大量开销。
*:如果您尝试加载 { a: 1 }您会发现它不会抛出 SyntaxError!然而,这既不是有效的 JSON,也不会创建对象(它在 blocn 语句中标记为 1)。
关于javascript - Facebook 突然可以安全地防止 JSON 劫持了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55206306/
27
4
0
最近开始学习MongoDB。今天老师教了我们 mongoexport 命令。在练习时,我遇到了一个典型的问题,包括教练在内的其他同学都没有遇到过。我在我的 Windows 10 机器上使用 Mongo
我是 JSON Schema 的新手,读过什么是 JSON Schema 等等。但我不知道如何将 JSON Schema 链接到 JSON 以针对该 JSON Schema 进行验证。谁能解释一下?
在 xml 中,我可以在另一个 xml 文件中包含一个文件并使用它。如果您的软件从 xml 获取配置文件但没有任何方法来分离配置,如 apache/ngnix(nginx.conf - site-av
我有一个 JSON 对象,其中包含一个本身是 JSON 对象的字符串。我如何反序列化它? 我希望能够做类似的事情: #[derive(Deserialize)] struct B { c: S
考虑以下 JSON { "a": "{\"b\": 12, \"c\": \"test\"}" } 我想定义一个泛型读取 Reads[Outer[T]]对于这种序列化的 Json import
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 11 个月前关闭。 Improve
我的旧项目在 MySQL 中有 Standard JSON 格式的数据。 对于我在 JS (Node.js) 和 DynamoDB 中的全新项目,关于 Standard JSON格式: 是否建议将其转
JSON 值字符串、数字、true、false、null 是否是有效的 JSON? 即,是 true 一个有效的 JSON 文档?还是必须是数组/对象? 一些验证器接受这个(例如 http://jso
我有一个 JSON 字符串,其中一个字段是文本字段。这个文本字段可以包含用户在 UI 中输入的文本,如果他们输入的文本是 JSON 文本,也许是为了说明一些编码,我需要对他们的文本进行编码,以便它不会
我正在通过 IBM MQ 调用处理数据,当由 ColdFusion 10 (10,0,11,285437) 序列化时,0 将作为 +0.0 返回,它会导致无效的 JSON并且无法反序列化。 stPol
我正在从三个数组中生成一个散列,然后尝试构建一个 json。我通过 json object has array 成功了。 require 'json' A = [['A1', 'A2', 'A3'],
我从 API 接收 JSON,响应可以是 30 种类型之一。每种类型都有一组唯一的字段,但所有响应都有一个字段 type 说明它是哪种类型。 我的方法是使用serde .我为每种响应类型创建一个结构并
我正在下载一个 JSON 文件,我已将其检查为带有“https://jsonlint.com”的有效 JSON 到文档目录。然后我打开文件并再次检查,结果显示为无效的 JSON。这怎么可能????这是
我正在尝试根据从 API 接收到的数据动态创建一个 JSON 对象。 收到的示例数据:将数据解码到下面给出的 CiItems 结构中 { "class_name": "test", "
我想从字符串转换为对象。 来自 {"key1": "{\n \"key2\": \"value2\",\n \"key3\": {\n \"key4\": \"value4\"\n }\n
目前我正在使用以下代码将嵌套的 json 转换为扁平化的 json: import ( "fmt" "github.com/nytlabs/gojsonexplode" ) func
我有一个使用来自第三方 API 的数据的应用程序。我需要将 json 解码为一个结构,这需要该结构具有“传入”json 字段的 json 标签。传出的 json 字段具有不同的命名约定,因此我需要不同
我想使用 JSON 架构来验证某些值。我有两个对象,称它们为 trackedItems 和 trackedItemGroups。 trackedItemGroups 是组名称和 trackedItem
考虑以下案例类模式, case class Y (a: String, b: String) case class X (dummy: String, b: Y) 字段b是可选的,我的一些数据集没有字
我正在存储 cat ~/path/to/file/blah | 的输出jq tojson 在一个变量中,稍后在带有 JSON 内容的 curl POST 中使用。它运作良好,但它删除了所有换行符。我知
我是一名优秀的程序员,十分优秀!