Eu estou usando Backbone.js e o servidor web Tornado. O comportamento padrão para receber dados de coleta no Backbone é enviar como uma matriz JSON.

Por outro lado, o comportamento padrão do Tornado é não permitir o JSON Array devido à seguinte vulnerabilidade:

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx

Um relacionado é:http://haacked.com/archive/2009/06/25/json-hijacking.aspx

Parece mais natural para mim não ter que envolver meu JSON em um objeto quando realmente é uma lista de objetos.

Não consegui reproduzir esses ataques em navegadores modernos (por exemplo, Chrome, Firefox, Safari e IE9 atuais). Ao mesmo tempo, não consegui confirmar em nenhum lugar que os navegadores modernos abordaram esses problemas.

Para garantir que não estou enganando nem por nenhuma possível habilidade de programação, nem por pobres habilidades de googling:

Esses ataques de sequestro do JSON ainda são um problema hoje em navegadores modernos?

(Nota: Desculpe pela possível duplicata para:É possível fazer 'JSON hijacking' no navegador moderno? mas desde que a resposta aceita não parece responder a pergunta - eu pensei que era hora de perguntar novamente e obter algumas explicações mais claras.)