JSONハイジャックインジェクション - 回避のベストプラクティス - どのブラウザが脆弱ですか？

Question

jsonレスポンスを確保する最も良い方法は何ですか？

私たちは、json形式のWebサービスからの応答であるアドレス検証を行います。私たちはその対応を確保したいと思います。

「while（1）」を使用して無限ループが発生するという記述がいくつかありますが、私は他の試行錯誤の方法について知りたいと思っています。

に基づいて： http://lab.gsi.dit.upm.es/semanticwiki/index.php/JSON_Hijacking_%28aka_JavaScript_Hijacking%29

http://capec.mitre.org/data/definitions/111.html

UPDATE

[OK]を、より具体的な質問は、注射のこのタイプに対して脆弱であるブラウザもありか？

そして、sslでjsonを返して、それがセキュリティ保護のために十分な構文（配列だけではない）であることを確認していますか？

Answer 1

https://github.com/chriso/node-validator/blob/master/lib/xss.jsのコードをご覧ください。私はそれがxss型の攻撃を防ぐために行うチェックの種類でかなり徹底的であることを発見しました。私は（私は右のあなたの質問を理解している場合）、このような攻撃を防ぐために何をするのか

Answer 2

は以下の通りです：

JavaScriptに接続可であることをクッキーを防ぎます。ジャバスクリプトによって最後の真の意味はアクセスできません

setcookie ('cookie_name', 'value', 1200, '/path', 'www.example.com', true, true); 

：PHPでクッキーを設定するときは、これを防止するためのオプションがあります。

あなたのCookieを盗まれないよう保護するだけでなく、いつもCSRFの保護を使用する必要があります。

これはbe doneがランダムトークンを生成していて、そのランダムトークンを使用して行われた要求のみを許可することができます。