在下面的视频中,时间标记为 21:40,Microsoft PDC 演示者说重要的是要包装所有 JSON,这样它就不是顶级数组:
https://channel9.msdn.com/Events/PDC/PDC09/FT12
展开的顶级数组有什么风险?
我应该如何检查自己是否易受攻击?我从第三方购买了许多组件,并有开发我的代码的外部 vendor 。
最佳答案
这是因为几年前 Jeremiah Grossman 发现了一个非常 interesting vulnerability that affects gmail .有些人通过使用 unparseable cruft 解决了这个漏洞。 (bobince 先生在此页面上的技术描述非常棒。)
微软之所以谈论这个是因为他们还没有修补他们的浏览器。 (编辑: Edge 和 IE 10/11 的最新版本已经解决了这个问题。)Mozilla 认为这是 json 规范中的一个漏洞,因此他们在 Firefox 3 中对其进行了修补。 .作为记录,我完全同意 Mozilla 的观点,但不幸的是,每个 Web 应用程序开发人员都必须保护自己免受这个非常模糊的漏洞的影响。
关于javascript - 什么是 "top level JSON arrays",为什么它们存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3503102/