个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我最近开始研究使用 .NET MVC 构建 Web 应用程序,并且偶然发现了 Phil Haack 的这篇博客文章:JSON Hijacking 。对于那些在使用 JSON 传输敏感数据时不知道此漏洞的人来说,它确实是必读的。
看来有3种方法可以处理这个漏洞。
第三种替代方案并不是真正的选择,因为它确实限制了 JSON 的使用。
那么另外两个你更喜欢哪一个呢?
默认情况下,.NET MVC 2 预览版需要 POST 来进行 JSON 响应,我认为这是保护任何尚不了解此问题的开发人员的好方法。但对我来说,以这种方式打破 REST 感觉有点“hacky”。除非有人劝我放弃它,否则我会坚持将数组包装在另一个对象中并在客户端解开它。
最佳答案
我个人将所有回复都包含在评论中:
/* {
"foo": 3,
"bar": "string with *\x2F sequence in"
} */
并在 JSON.parsing 之前将其删除。这使得它无法作为脚本标记的目标。
值得注意的是,这个问题不仅与 JSON 有关,还与您提供的任何可能被解释为 JavaScript 的 HTTP 响应有关。即使是受 .htaccess 保护的文本文件,如果其格式恰好是有效的 JavaScript,也很容易通过包含第三方脚本标记而泄露。
关键是:多亏了 E4X,即使是普通的静态 XML 文档也是有效的 JavaScript。 E4X 是一个灾难性且无用的 JavaScript 扩展,由 Mozilla 实现和发明,它允许您编写 <element>content</element> JS 中内联 XML 文字;因此, protected XML 文件现在容易遭受与 JSON 相同的跨站点泄漏风险。谢谢莫兹拉。请参阅Google doctype的文章对此进行了介绍。
关于security - 您是否更喜欢将 JSON 数组包装在另一个 JSON 对象中,还是始终需要 POST 来防止 JSON 劫持?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1617505/
25
4
0
正在尝试创建一个 python 包。似乎有效,但我收到警告。我的 setup.py 是: #! /usr/bin/env python from distutils.core import setup
我导入了一个数据类型 X ,定义为 data X a = X a 在本地,我定义了一个通用量化的数据类型,Y type Y = forall a. X a 现在我需要定义两个函数, toY 和 fro
我似乎无法让编译器让我包装 Tokio AsyncRead: use std::io::Result; use core::pin::Pin; use core::task::{Context, Po
我有两个函数“a”和“b”。当用户上传文件时,“b”被调用。 “b”重命名文件并返回新文件名。之后应该编辑该文件。像这样: def a(): edits file def b(): r
我使用 Entity Framework 作为我的 ORM,我的每个类都实现了一个接口(interface),该接口(interface)基本上表示表结构(每个字段一个只读属性)。这些接口(inter
有没有办法打开一个程序,通常会打开一个新的jframe,进入一个现有的jframe? 这里是解释,我下载了一个java游戏,其中一个是反射游戏,它在一个jframe中打开,框架内有一堆子面板,我想要做
我想要下面的布局 | AA BBBBBBB | 除非没有足够的空间,在这种情况下 | AA | | BBBBBBB | 在这种情况下,A 是复选框,B 是复选框旁边的 Text
我正在尝试以不同的方式包装我的网站,以便将背景分为 2 部分。灰色部分是主要背景,还有白色部分,它较小并包装主要内容。 基本上我想要this看起来像this . 我不太确定如何添加图像来创建阴影效果,
我正在使用 : 读取整数文件 int len = (int)(new File(file).length()); FileInputStream fis = new FileInputStream(f
我使用 maven 和 OpenJDK 1.8 打包了一个 JavaFX 应用程序我的 pom.xml 中的相关部分: maven-assembly-plugin
我正在使用两个不同的 ItemsControl 来生成一个按钮列表。
我有一个情况,有一个变量会很方便,to , 可以是 TimerOutput或 nothing .我有兴趣提供一个采用与 @timeit 相同参数的宏来自 TimerOutputs(例如 @timeit
我正在尝试包装一个名为 content 的 div与另一个具有不同背景的 div。 但是,当将“margin-top”与 content 一起使用时div,似乎包装 DIV 获得了边距顶部而不是 co
文档不清楚,它似乎允许包装 dll 和 csproj 以在 Asp.Net Core 5 应用程序中使用。它是否允许您在 .Net Core 5 网站中使用针对 .Net Framework 4.6
我被要求开发一个层,该层将充当通用总线,而不直接引用 NServiceBus。到目前为止,由于支持不引人注目的消息,这并不太难。除了现在,我被要求为 IHandleMessages 提供我们自己的定义
我正在尝试包装 getServersideProps使用身份验证处理程序函数,但不断收到此错误:TypeError: getServerSideProps is not a function我的包装看
我有一个项目,它在特定位置(不是/src/resources)包含资源(模板文件)。我希望在运行 package-bin 时将这些资源打包。 我看到了 package-options 和 packag
我正在寻找打印从一系列对象中绘制的 div。我可以通过使用下面的管道语法来实现这一点。 each i, key in faq if (key == 0) |
我在 Meteor.js“main.js - Server”中有这个方法。 Meteor.methods({ messageSent: function (message) { var a
我注意到,如果我的自定义Polymer 1.x元素的宽度比纸张输入元素上的验证错误消息的宽度窄,那么错误将超出自定义元素的右边界。参见下图: 有没有一种机制可以防止溢出,例如在到达自定义元素的边界时自
我是一名优秀的程序员,十分优秀!