我正在使用Backbone.js和Tornado Web服务器。在Backbone中接收收集数据的标准行为是作为JSON数组发送。
另一方面,由于以下漏洞,Tornado的标准行为是不允许JSON Array:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json- vulnerability.aspx
对于我来说,当它确实是一个对象列表时,不必将JSON包装在一个对象中就变得更加自然。
我无法在现代浏览器(即当前的Chrome,Firefox,Safari和IE9)中重现这些攻击。同时,我无法证实现代浏览器已经解决了这些问题。
为确保我不会因任何可能的编程技巧或谷歌搜索技巧而误导我:
这些JSON劫持攻击是否在当今的浏览器中仍然是一个问题?
但由于接受的答案似乎无法回答问题-我认为是时候再次提出问题并获得一些更清晰的解释)
不,不再可能捕获在Firefox 21,Chrome 27或IE10中传递给[]或{}构造函数的值。
[]
{}
var capture = function() { var ta = document.querySelector('textarea') ta.innerHTML = ''; ta.appendChild(document.createTextNode("Captured: "+JSON.stringify(arguments))); return arguments; } var original = Array; var toggle = document.body.querySelector('input[type="checkbox"]'); var toggleCapture = function() { var isOn = toggle.checked; window.Array = isOn ? capture : original; if (isOn) { Object.defineProperty(Object.prototype, 'foo', {set: capture}); } else { delete Object.prototype.foo; } }; toggle.addEventListener('click', toggleCapture); toggleCapture(); [].forEach.call(document.body.querySelectorAll('input[type="button"]'), function(el) { el.addEventListener('click', function() { document.querySelector('textarea').innerHTML = 'Safe.'; eval(this.value); }); }); <div><label><input type="checkbox" checked="checked"> Capture</label></div> <div><input type="button" value="[1, 2]" /> <input type="button" value="Array(1, 2);" /> <input type="button" value="{foo: 'bar'}" /> <input type="button" value="({}).foo = 'bar';" /></div> <div><textarea></textarea></div>
它重写window.Array和添加一个setter,Object.prototype.foo并通过短格式和长格式测试初始化数组和对象。
window.Array
Object.prototype.foo
的ES4规范,在第1.5节,“需要的对象和阵列的全球性的,标准绑定到被用于构建用于对象和数组的初始化新对象”在实施先例与指出,“InternetExplorer6中,歌剧9.20,和Safari3执行不尊重Object和Array的本地或全局重新绑定,而是使用原始的Object和Array构造函数。”这在ES5第11.1.4节中保留。
Allen Wirfs-Brock解释说,ES5还指定对象初始化不应触发设置方法,因为它使用DefineOwnProperty。MDN:使用对象指出:“从JavaScript1.8.1开始,在对象和数组初始化程序中设置属性时,不再调用setter。”
