json 応答を保護するための最良の方法は何ですか?
json 形式の Web サービスから返される応答であるアドレス検証を行います。その対応を確保したい。
「while(1)」を使用して無限ループを引き起こすという言及がいくつかありますが、他の実証済みの真の方法を知りたいと思っています。
基: http://lab.gsi.dit.upm.es/semanticwiki/index.php/JSON_Hijacking_%28aka_JavaScript_Hijacking%29
http://capec.mitre.org/data/definitions/111.html
アップデート
では、より具体的な質問として、この種のインジェクションに対して脆弱なブラウザはどれでしょうか?
そして、ssl経由でjsonを返し、それが正しい構文(配列だけでなく)であることを確認して、セキュリティ保護に十分ですか?
コードはhttps://github.com/chriso/node-validator/blob/master/lib/xss.jsで確認できます。xss タイプの攻撃を防ぐために行うチェックの種類がかなり徹底していることがわかりました。
そのような攻撃を防ぐために私がすることは(あなたの質問を正しく理解していれば)次のとおりです。
Cookie を JavaScript で使用できないようにします。PHP で Cookie を設定する場合、これを防止するオプションがあります。
setcookie ('cookie_name', 'value', 1200, '/path', 'www.example.com', true, true);
最後の true は、javascript でアクセスできないことを意味します。
Cookie が盗まれるのを防ぐだけでなく、常に CSRF保護を使用する必要があります。
これは、ランダム トークンを生成することで実行でき、そのランダム トークンを使用して実行されるリクエストのみを許可します。