有角度的网站建议为JSON添加)]}'\n前缀,以防止它们被称为JSONP:
JSON漏洞允许第三方网站在某些情况下将您的JSON资源URL转换为JSONP请求。为了解决这个问题,您的服务器可以使用以下字符串“)]}',\ n”为所有JSON请求添加前缀。 Angular会在将前缀作为JSON处理之前自动删除前缀。
但引用的文章没有提到这些右括号,感觉这很容易解决(因为我的JSONView chrome插件已被patched去除它们。为什么不这样做为“攻击者”工作?)。
相反,本文建议将JSON包装为对象:
{"d": ["Philha", "my-confession-to-crimes", 7423.42]}
以某种方式保护你。
为什么AngularJS支持这种(奇数)保护,是否有效?我不确定如何测试这个。
答案 0 :(得分:5)
为什么这对攻击者来说不起作用?
要删除字符,您必须有权访问该文件的原始内容。
Chrome扩展程序可以访问该扩展程序。在原始文件中指出<script>的人不会。
为什么AngularJS支持这种(奇数)保护,
因为它有效;)
并且有用吗?
是。当文件被视为JavaScript时,它将在第1行到达数组之前抛出错误。这将阻止它尝试评估数组,因此覆盖的数组构造函数无法从中读取数据。
令人高兴的是,安全问题似乎只存在于非常古老的Firefox版本中,因此您可能根本不需要担心这一点。