Kommentarblöcke um JSON-Antworten

Ich habe festgestellt, dass einige Webanwendungen AJAX-Antworten mit JSON-Daten zurückgeben, die in einen Kommentarblock eingebettet sind. Zum Beispiel würde dies eine Probe Antwort sein:Kommentarblöcke um JSON-Antworten

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */

Was ist der Vorteil der JSON-Daten in einem Kommentarblock einzubetten? Gibt es einen Sicherheits-Exploit, der dadurch vermieden wird?

Quelle

2009-06-19 Todd

Es ist getan, um zu vermeiden, dass eine Drittanbieter-Website Ihre Daten mit einem <script>-Tag entführt und den Object-Konstruktor außer Kraft setzt, um die Daten zu erhalten, wie sie gebaut werden.

Wenn die JSON-Daten von Kommentaren umgeben sind, ist sie nicht mehr direkt über ein <script>-Tag ausführbar und dadurch "sicherer".

Siehe PDF bei http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf für weitere Informationen (mit Beispielen)

Quelle

2009-06-19 17:25:42 jimr

Der Link gebrochen zu sein scheint. Könnten Sie bitte eine andere Referenz geben? – Lijo

Kommentarblöcke um JSON-Antworten

Antwort

Verwandte Themen