Używam Backbone.js i serwera internetowego Tornado. Standardowym sposobem odbierania danych kolekcji w sieci szkieletowej jest wysłanie jako tablica JSON.

Z drugiej strony, standardowym zachowaniem Tornado jest niedozwolenie JSON Array z powodu następującej luki:

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx

Powiązana jest:http://haacked.com/archive/2009/06/25/json-hijacking.aspx

Bardziej naturalne jest dla mnie, że nie muszę zawijać JSON w obiekcie, gdy jest to naprawdę lista obiektów.

Nie byłem w stanie odtworzyć tych ataków w nowoczesnych przeglądarkach (tj. W obecnych Chrome, Firefox, Safari i IE9). Jednocześnie nie byłem w stanie potwierdzić gdziekolwiek, że nowoczesne przeglądarki rozwiązały te problemy.

Aby upewnić się, że nie jestem wprowadzony w błąd ani przez jakiekolwiek możliwe słabe umiejętności programistyczne, ani przez słabe umiejętności googli:

Czy te ataki JSON Hijacking nadal stanowią problem w nowoczesnych przeglądarkach?

(Uwaga: Przepraszamy za możliwy duplikat do:Czy można zrobić „porwanie JSON” w nowoczesnej przeglądarce? ale ponieważ zaakceptowana odpowiedź nie wydaje się odpowiadać na pytanie - myślałem, że nadszedł czas, aby ponownie go zapytać i uzyskać jaśniejsze wyjaśnienia.)