AngularJS JSON漏洞保护是如何工作的
How does the AngularJS JSON vulnerability protection work?
angular网站建议在您的JSON前面加上)]}''n
,以防止它们被称为JSONP:
JSON漏洞允许第三方网站在某些情况下将您的JSON资源URL转换为JSONP请求。为了应对这种情况,您的服务器可以在所有JSON请求前面加上以下字符串")]}',''n"。Angular将在将前缀处理为JSON之前自动剥离前缀。
但引用的文章中没有提到这些括号,感觉这很容易解决(因为我的JSONView chrome插件已经打了补丁,把它们去掉了。为什么这对"攻击者"不起作用?)。
相反,本文建议将JSON包装为对象:
{"d": ["Philha", "my-confession-to-crimes", 7423.42]}
这在某种程度上保护了你。
为什么AngularJS支持这种(奇怪的)保护,而是否有效?我不知道该如何测试。
为什么这对"攻击者"不起作用?
为了去除字符,您必须有权访问文件的原始内容。
Chrome扩展可以访问它。将<script>
指向原始文件的人不会。
为什么AngularJS支持这种(奇怪的)保护,
因为它有效;)
它有效吗?
是的。当文件被当作JavaScript处理时,它会在到达数组之前在第1行抛出一个错误。这将阻止它尝试评估数组,因此被覆盖的数组构造函数将无法从中读取数据。
令人高兴的是,安全问题似乎只存在于非常古老的Firefox版本中,所以你可能根本不需要担心这一点。
相关文章:
- Javascript:selenium Web驱动程序isDisplayed()不工作
- jQuery UI自动完成突然停止工作
- AngularJS UI路由器不能像ng路由器那样工作
- HTML5音频加载和播放获胜'我不能在iPad上工作
- JavaScript打印功能使日历停止工作
- Javascript.getHours()工作不正常
- 为什么这在IE中的工作方式与在Firefox中不同
- 视频HTML没有'无法在Internet Explorer 11上工作
- 扩展移相器按钮类不工作
- Firebase迁移-简单的Firebase.set没有'不再工作了——旧的还是新的
- 谷歌地图不是以HTML显示,而是在JS Fiddle上工作
- 正在尝试使用if和else添加类,但无法正常工作
- Jquery FadeIn FadeOut 只工作一次
- Foreach无法在Typescript中工作
- 另一个ajax调用中的Jquery ajax调用在for循环中没有按预期工作
- 为什么不是't窗口.恢复正常工作吗?(javascript/jquery)
- 最大高度转换不;不工作,工作缓慢
- Gulp-rev:不是第一次工作,而是在第一次工作之后工作
- 在JavaScript中的类中,push和concat的工作方式有何不同
- JQuery - Ajax: encodeUriComponent不工作(EncodeUri工作)