【发布时间】:2011-07-21 13:47:18
【问题描述】:
好的,所以我正在开发一个已经开始更加 ajaxified 的网络应用程序。然后我读了一篇关于javascript hijacking 的博客,我有点困惑什么时候它实际上是一个问题。我想澄清一下
问题 1: 这是问题/漏洞吗?
如果我的网站返回带有敏感信息的“GET”请求的 json 数据 信息,然后该信息可能会落入坏人之手。
我使用 ASP.NET MVC,返回 JSON 的方法要求您明确允许 json get 请求。我猜他们正试图从这个安全漏洞中拯救外行。
问题 2: 劫持是否通过嗅探/读取通过互联网发送的响应而发生? SSL 能否缓解这种攻击?
问题 3: 这导致我问自己这个问题。如果我将页面状态存储在页面的本地 javascript 对象中,有人可以劫持该数据(登录用户除外)吗?
问题 4: 我可以通过仅返回带有“POST”请求的 JSON 来安全地缓解 THIS 漏洞吗?
【问题讨论】:
-
您需要搜索的术语是“Cross Site Scripting”(XSS)和“Cross Site Request Forgery”(CSRF)。这不是一个漏洞,它们是两个独立的类漏洞。
-
@zzzzBov 特定漏洞是滥用 JS 引擎,而不是 XSS 或 CRSF
标签: javascript security csrf