JSON安全最佳实践？

15 浏览2023年7月12日

匿名的 2023年7月13日

0 Comments

在研究“JSON vs XML”问题时，我遇到了这个问题。其中一个偏好JSON的原因是其在Javascript中的转换容易性，特别是使用eval()函数。但是从安全角度来看，这立刻引起了我的关注。

于是，我开始研究JSON的安全方面并发现了这篇博客文章，它解释了“JSON并不像人们想象中那样安全”。其中有一段内容引起了我的注意：

“更新：如果你完全按照规范使用JSON，那么顶层应该只有对象，而不是数组、数字或字符串。因为JSON对象无法通过eval()函数进行解析，JavaScript解释器会将其视为一个代码块而不是一个对象。这在很大程度上可以防止这些攻击，但最好还是使用不可预测的URL来保护安全数据。”

好的，这是一个很好的起点：JSON顶层的对象应该始终是对象，而不是数组、数字或字符串。这对我来说听起来是一个好的规则。

在JSON和AJAX相关的安全性方面，还有其他需要注意的事项吗？

上述引文的最后一部分提到了不可预测的URL。有人对此有更多信息吗，特别是如何在PHP中实现？我在Java方面的经验比在PHP方面更丰富，而在Java中，这很容易（你可以将一系列URL映射到单个Servlet），而我所做的所有PHP都是将一个URL映射到PHP脚本。

另外，如何使用不可预测的URL来提高安全性？

JSON.parse vs. eval() JSON.parse和eval()的区别。

使用适当的JavaScript字符串转义，是否可能对JSON响应进行XSS攻击？

"顶级 JSON 数组" 是什么，为什么它们是安全风险？

安全地将 JSON 字符串转换为对象

通过创建无法解析的（“不可解析的碎片”）JSON 增加安全性？

javascript eval() and security

本地 HTML + 本地 JSON 安全

避免 JSON 劫持中的 ")]}',\n" 和 "{} &&" 的区别

JSONP安全吗？

一个数组可以作为顶级的 JSON 文本吗？

为什么存在eval()函数？

JSON对象与Javascript对象的区别

为什么JavaScript的eval需要使用括号来评估JSON数据？

"JSON.stringify"和"JSON.parse"之间的区别是什么？

使用JSON对象相比于大量的数据字符串的重要性是什么？

Javascript对象表示法（JSON）与JSON对象

处理安全问题并避免用户输入的URL中的XSS攻击的最佳方法

替代JavaScript eval()解析JSON的方法

为什么JSON正在取代XML成为数据格式？

JSON劫持在现代浏览器中仍然存在问题吗？