可以通过重写数组构造函数来利用JSON响应,或者如果恶意值不是JavaScript字符串转义的话.
让我们假设这两个向量都以正常方式处理.谷歌通过在所有JSON前加上以下内容来捕获JSON响应直接来源:
throw 1; < don't be evil' >
然后是JSON的其余部分.因此,Evil博士不能,使用此处讨论的那种漏洞利用http://sla.ckers.org/forum/read.php?2,25788获取您的cookie(假设您已登录),将以下内容放在他的网站上:
"}
我是对的还是我错的?
使用正确的方法可以避免这种潜在的xss漏洞Content-Type.基于RFC-4627,所有JSON响应都应该使用该application/json类型.以下代码不容易受到 xss的影响,请继续测试它:
该nosniff头用于禁用内容嗅探旧版本的Internet Explorer.另一种变体如下:
"}'); ?>
当浏览器查看上述代码时,系统会提示用户下载JSON文件, 而现代版本的Chrome,FireFox和Internet Explorer上未执行JavaScript. 这将是RFC违规.
如果您eval()对上面的JSON 使用JavaScript 或将响应写入页面,那么它将成为基于DOM的XSS.基于DOM的XSS通过在对此数据执行操作之前清理JSON来修补客户端.
Burpsuite(自动安全工具)检测在JSON响应中返回unHTML转义的嵌入式XSS尝试,并将其报告为XSS漏洞.
也许它试图阻止OWASP XSS备忘单规则3.1中描述的漏洞.
他们给出了以下易受攻击代码的示例:
即使双引号,斜杠和换行符被正确转义,如果它嵌入在HTML中,你可以突破JSON:
"};
jsFiddle.
to_json()函数可以通过在每个斜杠前加一个反斜杠来阻止此问题.如果在HTML属性中使用JSON,则必须对整个JSON字符串进行HTML转义.如果它在href="javascript:"属性中使用,则必须进行URL转义.
京公网安备 11010802040832号 | 京ICP备19059560号-6 