码迷,mamicode.com
首页 > Web开发 > 详细

JSON中的安全问题

时间:2017-04-13 00:50:44      阅读:304      评论:0      收藏:1      [点我收藏+]

标签:而不是   编译   标签   解析json数据   字符串   链接   允许   定位   get   

Web中使用JSON时最常见的两个安全问题:

1、跨站请求伪造;

即CSRF,是一种利用站点对用户浏览器信任发起攻击的方式。典型的就是JSON数组,更多信息请自行上网百度。

 

2、跨站脚本攻击。

是注入攻击的一种,在使用JSON时常见的安全漏洞通常发生在JavaScript从服务器获取到一段JSON字符串并将其转化为JavaScript对象时。

 

在定位JSON安全问题时,应该记住以下三件事情:

一、不要使用顶级数组。顶级数组是合法的JavaScript脚本,它们可以用<scirpt>标签链接并使用;

二、对于不想公开的资源,仅允许使用HTTP POST方法请求,而不是GET方法。GET方法可以通过URL来请求,甚至可以放在<script>标签中。

三、使用JSON.parse()来代替eval()。eval()函数会将传入的字符串编译并执行,这会让你的代码易被攻击。应仅使用JSON.parse()来解析JSON数据。

 

关于更多的JSON安全问题,上网查阅相信会得到跟更多。

JSON中的安全问题

标签:而不是   编译   标签   解析json数据   字符串   链接   允许   定位   get   

原文地址:http://www.cnblogs.com/fengxiongZz/p/6697008.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!