博客(CSRF)的主要安全漏洞不是特定于JSON的。相反,使用XML就像是一个大漏洞。确实,根本没有异步调用也很糟糕。常规链接同样容易受到攻击。
当人们谈论唯一的URL时,通常并不意味着http://yourbank.com/json-api/your-name/big-long-key-
unique-to-you/statement。取而代之的是,使请求的其他特征变得唯一是更常见的。即FORM帖子中的值或URL参数。
通常,这涉及将随机令牌插入服务器端的FORM中,然后在发出请求时进行检查。
数组/对象对我来说是个新闻:
脚本标签:攻击者可以嵌入一个指向远程服务器的脚本标签,浏览器将为您有效地eval()答复,但是它丢弃了响应,并且由于JSON都是响应,因此您很安全。
在这种情况下,您的站点完全不需要使用JSON即可受到攻击。但是,是的,如果攻击者可以将随机HTML插入您的网站,那么您就敬酒了。
