假设您的网站具有
GetUser网络方法:
http://www.example.com/User/GetUser/32
返回JSON响应:
{ "Name": "John Doe" }如果此方法仅接受POST请求,则仅当
http://www.example.com/User/GetUser/32使用POST方法发出AJAX请求时,内容才会返回到浏览器。请注意,除非您实施了CORS,否则浏览器将保护数据免受来自其他域的请求。
但是,如果您允许GET请求,然后再使用GET而不是POST发出与上述类似的AJAX请求,则恶意用户可以通过使用
scriptHTML中的标记将JSON包含在其自己的站点上下文中。例如
www.evil.com:
<script src="http://www.example.com/User/GetUser/32"></script>
此Javascript应该没有用,
www.evil.com因为应该没有办法读取Web方法返回的对象。但是,由于旧版本浏览器(例如Firefox
3)中的错误,可能会重新定义Javascript原型对象,并有可能
www.evil.com读取方法返回的数据。这称为JSON劫持。
有关防止这种情况的一些方法,请参见这篇文章。但是,现代浏览器的更高版本(Firefox,Chrome,IE)不是已知问题。
