javascript-服務器為什么不響應JSON數組?
[英]javascript - Why shouldn't the server respond with a JSON Array?
問題描述
根據Angular 2指南 :
不要期望解碼后的JSON直接成為heroes數組。 該服務器始終將JSON結果包裝在具有data屬性的對象中。 您必須打開包裝才能獲得英雄。 這是傳統的Web API行為,受安全性問題驅動。
(“英雄”是一組對象)。
上段中的鏈接顯示 :
始終返回帶有外部對象的JSON
始終將外部原語作為JSON字符串的對象:
可利用的:[{"object": "inside an array"}]
不可利用:{"object": "not inside an array"}
也不能被利用:{"result": [{"object": "inside an array"}]}
我的問題是:為什么服務器不應該返回類似JSON數組的內容? 說:
[ "apples" ,"oranges" , "peaches" ]
這是如何引起安全問題的?
2 個解決方案
解決方案1
2 已采納 2017-05-01 10:29:02
為了避免JSON劫持 :
這是JSON數組這一事實很重要。 事實證明,包含JSON數組的腳本是有效的JavaScript腳本,因此可以執行。 僅包含JSON對象的腳本不是有效的JavaScript文件。
例如,如果您有一個包含以下JSON的JavaScript文件:
{“Id”:1, “Balance”:3.14}並且您有一個引用該文件的腳本標簽:<script src="http://example.com/SomeJson"></script>您將在HTML頁面中收到JavaScript錯誤。 但是,不幸的是,如果您有一個腳本標簽引用了僅包含JSON數組的文件,則該腳本標簽將被視為有效的JavaScript,並且該數組將被執行。
因此,允許將JSON以除對象之外的任何形式返回,將可能返回包含可在客戶端級別運行的代碼的JSON數組(在客戶端不希望其可運行的情況下,可能是惡意的)等)。 僅返回JSON對象可防止這種情況的發生。
解決方案2
1 2017-09-28 15:25:24
這是非常糟糕的建議,此后已從角度教程中刪除。
- 鏈接的OWASP Cheet Sheet列出了三種防止JSON劫持的方法。 本教程選擇的方法最難正確實施,因為必須教育每個開發人員,並審核每個REST資源,而不是編寫單個HttpInterceptor來將CSRF防御擴展到GET請求。
- JSON劫持只能由於瀏覽器錯誤而發生,這些錯誤通常會很快修復(這並不意味着此類攻擊是不可能的,但是簡單的漏洞利用在現代瀏覽器中不再起作用)
Javascript閉包:該數組不可以通過getArray編輯嗎?
[英]Javascript closures: Shouldn't this array not be editable via getArray?
如果僅在特定頁面上使用javascript,為什么不應該將其放在視圖中?
[英]Why shouldn't javascript be placed in view if it is only used on specific pages?
JavaScript class 對象的數組在不應該為空的時候表現為空
[英]JavaScript Array of class objects acts empty when it shouldn't be
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
為什么Javascript Eval比較慢,什么時候不應該
為什么 JavaScript 中的 Discord 聊天機器人沒有響應?
來自數組JSON編碼服務器的Ajax JSON訪問數組響應
無法解決為什么陣列更新時不應該?
Javascript閉包:該數組不可以通過getArray編輯嗎?
Javascript正則表達式返回null,但不應返回null。 為什么?
如果僅在特定頁面上使用javascript,為什么不應該將其放在視圖中?
JavaScript數組隨機播放不應彼此相鄰輸出兩個
JavaScript class 對象的數組在不應該為空的時候表現為空
為什么二維數組不應該推送值?
相關標簽