首頁(yè) 猿問(wèn) 什么是“頂級(jí)JSON數(shù)...

什么是“頂級(jí)JSON數(shù)組”，為什么會(huì)有安全風(fēng)險(xiǎn)？

JavaScript 安全

一只萌萌小番薯 2019-10-15 16:07:16

在下面的視頻中，Microsoft PDC演示者在時(shí)間標(biāo)記21:40處說(shuō)，包裝所有JSON以使其不是頂級(jí)數(shù)組很重要：https://channel9.msdn.com/Events/PDC/PDC09/FT12解開(kāi)頂層數(shù)組的風(fēng)險(xiǎn)是什么？我應(yīng)該如何檢查并確定自己是否脆弱？我從第三方購(gòu)買(mǎi)了許多組件，并且有外部廠商來(lái)開(kāi)發(fā)我的代碼。

查看完整描述

2 回答

慕無(wú)忌1623718

TA貢獻(xiàn)1744條經(jīng)驗(yàn) 獲得超4個(gè)贊

這是因?yàn)閹啄昵?，耶利米·格羅斯曼（Jeremiah Grossman）發(fā)現(xiàn)了一個(gè)影響gmail的非常有趣的漏洞。有些人通過(guò)使用解決了這個(gè)vulnerabilty 無(wú)法解析的克魯夫特（bobince先生的這個(gè)網(wǎng)頁(yè)上的技術(shù)說(shuō)明是太棒了。）

微軟之所以這樣說(shuō)，是因?yàn)樗麄兩形葱扪a(bǔ)瀏覽器。（編輯： Edge和IE 10/11的最新版本已解決了該問(wèn)題。）Mozilla認(rèn)為這是json規(guī)范中的漏洞，因此他們?cè)贔irefox 3中對(duì)其進(jìn)行了修補(bǔ)。作為記錄，我完全同意Mozilla，它的不幸之處在于，但每個(gè)Web應(yīng)用程序開(kāi)發(fā)人員都必須捍衛(wèi)自己免受這種非常隱蔽的漏洞的侵害。

反對(duì) 回復(fù) 2019-10-15