Javascript AngularJSON漏洞保护是如何工作的?
angular网站建议在JSON前面加上“Javascript AngularJSON漏洞保护是如何工作的?,javascript,json,angularjs,security,Javascript,Json,Angularjs,Security,angular网站建议在JSON前面加上“)]}”\n,以防止它们被称为JSONP: JSON漏洞允许第三方网站在某些情况下将JSON资源URL转换为JSONP请求。为了解决这个问题,服务器可以在所有JSON请求前面加上以下字符串“]},\n”。Angular将在将前缀作为JSON处理之前自动去除前缀 但是引用的文章没有提到这些结束括号,而且感觉这很容易解决(因为我的JSONView chrome插件已经将它们去掉了。为什么这对“攻击者”不起作用?) 相反,本文建议将JSON包装为对象: {"d
)]}”\n
,以防止它们被称为JSONP:
JSON漏洞允许第三方网站在某些情况下将JSON资源URL转换为JSONP请求。为了解决这个问题,服务器可以在所有JSON请求前面加上以下字符串“]},\n”。Angular将在将前缀作为JSON处理之前自动去除前缀
但是引用的文章没有提到这些结束括号,而且感觉这很容易解决(因为我的JSONView chrome插件已经将它们去掉了。为什么这对“攻击者”不起作用?)
相反,本文建议将JSON包装为对象:
{"d": ["Philha", "my-confession-to-crimes", 7423.42]}
这在某种程度上保护了你
为什么AngularJS喜欢这种(奇怪的)保护,它能起作用吗?我不确定该如何测试这个
为什么这对“攻击者”不起作用
为了去除字符,您必须能够访问文件的原始内容
Chrome扩展可以访问该功能。将
指向原始文件的人不会这样做
为什么AngularJS喜欢这种(奇怪的)保护
因为它有效;)
它有效吗
对。当文件被视为JavaScript时,它将在到达数组之前在第1行抛出一个错误。这将阻止它尝试计算数组,因此被覆盖的数组构造函数将无法从中读取数据
幸运的是,安全问题似乎只存在于非常古老的Firefox版本中,因此您可能根本不需要担心这个问题。酷!那么,为什么他们不遵循博客中的建议呢?再次感谢。可能是因为答案最后一段所述的原因,但你必须让他们知道。@Quentin什么是“访问文件的原始内容”?你能解释一下吗?或者分享一个链接来解释一下吗?@DhananjayanSanthanakrishnan-与访问解析其中数据的结果相反