个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
我发现一个以右括号开头的 JSON 文件用于谷歌的一项服务。以下是一个示例,您会看到它在主要数据部分之前有右括号和单引号。我检查了获取此 JSON 数据的 javascript 代码。他们所做的是在解析数据之前手动删除第一个顺序括号。
)]}'
["value1", "value2"]
这是我的问题。
这个 JSON 格式有效吗?
有人知道他们为什么要这样做吗?
最佳答案
这是一种针对所谓的 JSON 劫持攻击的保护措施。客户端在解释之前去除领先的垃圾。
在 JSON 劫持攻击中,用户在一个选项卡中登录到应用程序,这意味着浏览器将其身份验证 token 保存在 cookie 中。然后黑客安排用户在另一个选项卡中打开恶意应用程序。该选项卡中的 HTML 包含一个 script 标记,其 src 设置为第一个应用程序的某些 JSON API 的 URL。因为它是一个脚本标签,所以没有同源检查。由于浏览器在请求中包含有效凭据,因此第一个应用程序会继续并返回 JSON,其中可能包含 secret 信息。由于 JSON 是有效的 JavaScript,因此浏览器会执行它,这本身不会导致任何事情发生,但黑客随后可以通过检查脚本标记的内容来检索 JSON。
通过将垃圾放在JSON前面,它不能被解析为有效的JS。因此,浏览器会出错,不会将内容加载到恶意应用程序的脚本标签中,因此无法对其进行检查。不同 vendor 使用各种“口味”的垃圾;谷歌就是其中之一。
现在有几种针对 JSON 劫持的内置对策,它不再是一种威胁,除非在没有正确设置 header 的旧浏览器上。
关于javascript - 以右括号开头的 JSON 数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26955167/
25
4
0
IntelliJ 有没有办法删除周围的括号、括号、引号等?例如,如果我有: "string" 有没有办法删除匹配的引号并得到这个? string 最佳答案 不是直接的,但以下替换表达式(ctrl+R,
我有一段代码是这样的; var x(10); var i = 3; x(i) = 7 document.write("The stored value is " + x(3) +" 这是我正在阅读的书
括号在sql语句中的作用是什么? 例如,在声明中: 插入 table1 ([columnname1], columnname2) 值 (val1, val2) 另外,如果表名在括号中,它会做什么? 最
为什么在“java”中,当你声明“注释”的“参数”时,必须在参数后面放置“一对括号”,注释在语法上与“接口(interface)”形式“非常不同”,所以为什么这很奇怪语法...我知道这与注释是使用幕后
我正在尝试实现后缀到中缀和中缀到后缀(使用堆栈),一切都很顺利,除了当我从后缀转换时我无法想出如何处理括号的想法。它说我必须使用最少数量的括号。例如: ab+c*da-fb-*+ (a+b)*c+
我有这样的数据: $json_data_array = '[ { "id": 1, "value": "hr@test.com",
我有一个字符串,其中包含数字周围的方括号 []。由于此字符串代表我的 SQL 数据库的列名称,因此我需要删除/替换它们。到目前为止,我通过以下方式进行: if (stringWithBracket.C
这是 index.js 文件的代码快照,它是在新的 phonegap 项目中默认创建的。 var app = { // Application Constructor initiali
您好,先生,我正在通过 url 将数组列表 android 发送到 php,它也成功插入,但是 start[ 和 end ] 这个小括号也插入了,我想删除它 我尝试以下代码.. 请告诉我如何删除括号
我正在尝试将 css 括号括在我的 h2 标题周围(大概 90% 都在那里),但我在解决一些小问题时遇到了麻烦: 1. 右边线的间距有点偏,应该拿过来与支架连接。我该如何调整? 和 2. 通过 bg.
有人能给我一些关于这个问题的提示吗:仅当表达式包含正确闭合的圆括号和大括号并且没有其他字符(甚至空格)时,它才是正确的。例如,() ({} () ({})) 是正确的表达式,而 ({)} 不是正确的表
这怎么让宽度变成 100%? .test { width: (50%;); } 我已经知道如何修复它,使其变为 50%,并且该语句或多或少是多余的,我只想知道为什么会发生这种情况。 编辑:ht
请问python的语法本质上df.head()和df.head有什么区别?我可以解释为前一个是用于调用方法,而后一个只是试图获取DataFrame的属性,即头部?我很困惑为什么有时末尾有括号但有时
我通过C#阅读了一些MSDN文档,发现一段代码可以在字符串构造函数和字符串本身之间使用,就像这样 string[] stringname; 这是什么意思呢? 最佳答案 这只是一个数组声明。这意味着st
是否有人知道在创建 PHP 数组时 [ ] 的含义,以及是否真的需要它。因为从我的角度来看。两种方式都够了 方式一,带括号: $cars[] = array ('expensive' => $BMW,
最近我看到了很多将 SQL 值包含在 {} 中的 PHP/MySQL 问题,例如: SELECT * FROM table WHERE field LIKE '{$value}'; 这是怎么回事?它甚
Pattern pattern = Pattern.compile("([a-zA-Z]+)") Matcher matcher = pattern.matcher("Text"); matcher.
这个问题在这里已经有了答案: Usage of string::c_str on temporary string [duplicate] (2 个答案) 关闭 8 年前。 如果我有一个函数 myf
例如, class BasicTransitionFunction(TransitionFunction[GrammarBasedState]): ... 其中TransitionFunc
这个问题在这里已经有了答案: Is short-circuiting logical operators mandated? And evaluation order? (7 个答案) Safety
我是一名优秀的程序员,十分优秀!