JSON劫持注射 - 避免的最佳实践 - &哪些浏览器易受攻击?

时间:2012-04-19 18:50:48

标签: javascript xml json security

确保json响应的最佳方法是什么?

我们确实解决了以json格式从Web服务返回的验证。我们希望得到这种回应。

有一些提及,使用“while(1)”来引起无限循环,我很想知道其他尝试过的方法。

基于: http://lab.gsi.dit.upm.es/semanticwiki/index.php/JSON_Hijacking_%28aka_JavaScript_Hijacking%29

http://capec.mitre.org/data/definitions/111.html

更新

好的,一个更具体的问题可能是哪些浏览器容易受到这种类型的注入?

并且正在通过ssl返回json并确保它的语法正确(不仅仅是数组)足够的安全保障?

2 个答案:

答案 0 :(得分:0)

您可以查看https://github.com/chriso/node-validator/blob/master/lib/xss.js处的代码。我发现它在防止xss类型攻击的检查类型方面非常彻底。

答案 1 :(得分:0)

我会采取什么措施来防止这种攻击(如果我理解你的问题是正确的)如下:

防止cookie对javascript具有可用性。在PHP中设置cookie时,您可以选择阻止它:

setcookie ('cookie_name', 'value', 1200, '/path', 'www.example.com', true, true);

最后的真实意味着javascript无法访问。

除了防止您的cookie被盗外,您还应始终使用CSRF保护。

这可以be done生成一个随机令牌,只允许使用该随机令牌完成请求。

相关问题
最新问题