Javascript 劫持，我什么时候应该担心，应该担心到什么程度？

Question

好的，所以我正在开发一个已经开始更加ajaxified 的网络应用程序。然后我读了一篇关于 javascript 劫持的博客，我有点困惑什么时候它实际上是一个问题。我需要一些澄清

问题 1： 这是问题/漏洞吗？

如果我的网站使用具有敏感信息的“GET”请求返回 json 数据 那么该信息可能会落入坏人之手。

我使用 ASP.NET MVC，返回 JSON 的方法要求您显式允许 json get 请求。我猜想他们是想保护外行免受这个安全漏洞的影响。

问题 2： 劫持是否是通过嗅探/读取通过互联网发送的响应而发生的？ SSL 可以缓解这种攻击吗？

问题 3： 这让我向自己问了这个问题。如果我将页面状态存储在页面的本地 javascript 对象中，有人可以劫持该数据（登录用户除外）吗？

问题 4： 我可以仅通过“POST”请求返回 JSON 来安全地缓解此漏洞吗？

Answer 1

您链接到的帖子正在谈论 CSRF 和 CSRF 。 XSS（请参阅我对这个问题的评论），因此在这种情况下：

这是问题/漏洞吗（“如果我的网站使用包含敏感信息的‘GET’请求返回 json 数据，那么该信息可能会落入坏人之手。”）？

不。

劫持是否是通过嗅探/读取通过互联网发送的响应来发生的？

不。

如果我将页面状态存储在页面的本地 javascript 对象中，有人可以劫持该数据（登录用户除外）吗？

这取决于。这取决于您是否将数据存储在 cookie 中并且尚未设置正确的域或路径。这取决于客户端浏览器上是否存在允许脚本访问通常受限制的数据的安全漏洞。还有许多其他攻击媒介，并且不断发现新的攻击媒介。简而言之：不要信任浏览器任何机密或安全数据。

我可以仅通过“POST”请求返回 JSON 来安全地缓解此漏洞吗？

不（这不是单个漏洞，而是一组漏洞类别）。

Answer 2

好吧，您可以检查是否有获取，以及获取是否来自正确引用者。

从 POST 获取它并不是真的更安全，因为这很容易模拟。

一般来说，您可以采取很多措施来防止跨站点伪造和操纵。

Answer 3

实际上的漏洞是能够覆盖Array。

如果覆盖本机数组，则可以访问构造为数组的 JSON 数据。

该漏洞已在所有主流浏览器中得到修复。

仅当您的客户端使用不安全的浏览器时，您才应该担心这一点。

示例：

window.Array = function() {
  console.log(arguments);
  // send to secret server
}

...

$.get(url, function(data) { ... });

当构造data时，如果返回的JSON中有任何数组，浏览器将调用window.Array，然后调用该数据数组被发送到秘密服务器。