我得到那个
JSON.parse()阻止攻击者注入
JavaScript到响应,因为JSON解析器只是一个文本解析器,而不是一个脚本解析器,所以请不要关闭这是所有其他问题的谈话.这是一个不同的问题.
如果攻击者可以劫持您的Ajax调用,并将JavaScript放入Ajax调用中,那么它们并不只是可能劫持您的实际网页并将任意JavaScript放入您的页面,从而可以完成相同的攻击?
当然,通过使用JSON.parse()而不是eval(),你没有什么可失去的(除非你的环境中没有JSON解析器,并且必须添加更多的代码才能获得),但是真正的情况呢如果您的网页由与您的ajax通话相同的主机提供服务,请添加安全性?
解决方法
原文地址:https://www.jb51.cc/ajax/153674.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。