博客探讨了防止JsonHijacking的策略,尤其是避免通过GET请求发送敏感JSON数据。作者提到,尽管Ajax请求通常受到同源策略限制,但JQuery允许跨域请求,引发关于$.postJSON可能被利用进行Json劫持的疑问。文章以一个简单的$.postJSON实现为例,询问在页面加载时使用此方法是否可能导致Json劫持,并请求解释原因。
昨天,我读了一些关于如何防止Json Hijacking with Asp.Net MVC的好文章。规则是:绝不会以get请求的形式发送json格式的合理数据。通过在谷歌上进行简单搜索,您可以轻松地学习如何定义一个脚本,该脚本将用于通过其auth cookie的帮助从另一个用途提取数据。Json使用Ajax劫持Jquery post请求
但是在阅读了所有这些文章之后,我不知道为什么使用Ajax Jquery post请求不能执行Json劫持。我读过Ajax请求受制于相同的源策略,但JQuery有一个属性可以执行跨域请求。
在这种情况下,是否有可能在文档就绪事件中使用$ .postJSON对脚本执行Json劫持?如果是或否,你能解释我的确切原因吗?
下面是一个简单的一串代码做什么,我在想:
$.postJSON = function (url, data, callback) {
$.post(url, data, callback, "json");
};
$(function(){
$.postJSON("/VulnerableSite/ControllerName/ActionName",
{ some data parameters }, function() {
// Code here to send to the bad guy the data of the hacked user.
}
});
非常感谢你。
2013-03-02
Samuel
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
