JSON中的安全问题
Posted Z皓
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JSON中的安全问题相关的知识,希望对你有一定的参考价值。
Web中使用JSON时最常见的两个安全问题:
1、跨站请求伪造;
即CSRF,是一种利用站点对用户浏览器信任发起攻击的方式。典型的就是JSON数组,更多信息请自行上网百度。
2、跨站脚本攻击。
是注入攻击的一种,在使用JSON时常见的安全漏洞通常发生在javascript从服务器获取到一段JSON字符串并将其转化为JavaScript对象时。
在定位JSON安全问题时,应该记住以下三件事情:
一、不要使用顶级数组。顶级数组是合法的JavaScript脚本,它们可以用<scirpt>标签链接并使用;
二、对于不想公开的资源,仅允许使用HTTP POST方法请求,而不是GET方法。GET方法可以通过URL来请求,甚至可以放在<script>标签中。
三、使用JSON.parse()来代替eval()。eval()函数会将传入的字符串编译并执行,这会让你的代码易被攻击。应仅使用JSON.parse()来解析JSON数据。
关于更多的JSON安全问题,上网查阅相信会得到跟更多。
以上是关于JSON中的安全问题的主要内容,如果未能解决你的问题,请参考以下文章
在 Django 模板中的 JSON 中安全地使用带有 html 的 JSON
即使在 project.json 中将 allowunsafe 标志设置为 true 后,.NET Core 中的不安全代码编译错误