在下面的视频中,Microsoft PDC演示者在时间标记21:40处说,包装所有JSON以使其不是顶级数组很重要:https://channel9.msdn.com/Events/PDC/PDC09/FT12解开顶层数组的风险是什么?我应该如何检查并确定自己是否脆弱?我从第三方购买了许多组件,并且有外部厂商来开发我的代码。
2 回答
慕无忌1623718
TA贡献1744条经验 获得超4个赞
这是因为几年前,耶利米·格罗斯曼(Jeremiah Grossman)发现了一个影响gmail的非常有趣的漏洞。有些人通过使用解决了这个vulnerabilty 无法解析的克鲁夫特(bobince先生的这个网页上的技术说明是太棒了。)
微软之所以这样说,是因为他们尚未修补浏览器。(编辑: Edge和IE 10/11的最新版本已解决了该问题。)Mozilla认为这是json规范中的漏洞,因此他们在Firefox 3中对其进行了修补。作为记录,我完全同意Mozilla,它的不幸之处在于,但每个Web应用程序开发人员都必须捍卫自己免受这种非常隐蔽的漏洞的侵害。
添加回答
举报
0/150
提交
取消