Ist JSON-Hijacking in modernen Browsern immer noch ein Problem?
Ich benutze Backbone.js und den Tornado-Webserver. Das Standardverhalten für den Empfang von Erfassungsdaten in Backbone ist das Senden als JSON-Array.
Das Standardverhalten von Tornado besteht jedoch darin, JSON-Arrays aufgrund der folgenden Sicherheitsanfälligkeit nicht zuzulassen:
http://haacked.com/archive/2008/11/20/anatomy-of-subtle-json-vulnerability.aspx
Eine verwandte ist:http://haacked.com/archive/2009/06/25/json-hijacking.aspx
Es fühlt sich für mich natürlicher an, mein JSON nicht in ein Objekt einschließen zu müssen, wenn es sich wirklich um eine Liste von Objekten handelt.
Ich konnte diese Angriffe in modernen Browsern (d. H. Aktuelles Chrome, Firefox, Safari und IE9) nicht reproduzieren. Gleichzeitig konnte ich nirgendwo bestätigen, dass moderne Browser diese Probleme behoben hatten.
Um sicherzustellen, dass ich weder durch schlechte Programmierkenntnisse noch durch schlechte Google-Kenntnisse in die Irre geführt werde:
Sind diese JSON-Hijacking-Angriffe in modernen Browsern immer noch ein Problem?
(Hinweis: Bitte entschuldigen Sie das mögliche Duplikat an:Ist es möglich, "JSON-Hijacking" in einem modernen Browser durchzuführen? aber da die akzeptierte Antwort die Frage nicht zu beantworten scheint - dachte ich, es sei an der Zeit, sie erneut zu stellen und klarere Erklärungen zu erhalten.)