在使用JSON时常见的安全漏洞通常发生在JavaScript从服务器获取到一段JSON字符串并将其转化为JavaScript对象时,
在定位JSON安全问题时,应该记住三件事情:
1.不要使用顶级数组,顶级数组是合法的JavaScript脚本,他们可以用标签链接并使用。
2.对不想公开的资源,仅允许使用HTTPPOST请求,而不是get方法。GET方法可以通过URL来请求,甚至可以放在标签中。
3.使用JSON.parse()来代替eval()。eval()函数会将传入的字符串编译并执行,应仅使用JSON.parse() 来解析JSON数据。

最新文章

  1. Redhat 一则关于路由及DNS配置的实例
  2. EntityFrameWork使用
  3. DP:Miking Time(POJ 3616)
  4. Monocular Vision
  5. 手机端APP原型相关
  6. Unity3d:加载Format是RGB24位的图片失败(加载图片显示问号)
  7. Exchange Server 2013传输规则之全新附件限制
  8. Win7下Nginx的安装与配置,win7nginx配置
  9. Hyperledger Fabric 1.0 从零开始(七)——启动Fabric多节点集群
  10. C语言中的typedef
  11. 2、各种折腾,安装交叉环境的gcc和qt,测试c++和qt程序
  12. windows搭建golang环境
  13. Python读取xlsx文件
  14. oracle自带总页数分页sql
  15. Integer的NPE问题
  16. poj 2387——单源最短路权值大于0
  17. 如何将maven项目打包上传到私服
  18. Vue右键菜单
  19. 炫酷霸气的HTML5/jQuery应用及源码
  20. mac osx 升级到10.10 软件无法打开的问题

热门文章

  1. 系统、决策、控制研究系列(SSDC)
  2. Gerrit上分支操作记录(创建分支、删除分支)
  3. python 批量下载图片
  4. 如何用chrome查看post get及返回的数据
  5. Linux 第八周实验 进程的切换和系统的一般执行过程
  6. Linux内核分析作业六
  7. PAT 甲级 1044 Shopping in Mars
  8. 转载: 一、linux cpu、内存、IO、网络的测试工具
  9. 关于ArcGIS常用功能的实现
  10. Jenkins之Linux和window配置区别