Google plus zwraca żądania ajax z )]}'
w pierwszej linii. Słyszałem, że to ochrona przed XSS. Czy są jakieś przykłady, co i jak można zrobić z tym bez tej ochrony?"Ochrona przed XSS" przez dodanie)]} 'przed odpowiedzią ajaxową
Odpowiedz
Oto moje najlepsze przypuszczenie co się tutaj dzieje.
Po pierwsze, istnieją inne aspekty formatu json google, które nie są całkiem poprawne json. Tak więc, oprócz jakichkolwiek celów ochrony, mogą używać tego konkretnego ciągu znaków, aby zasygnalizować, że reszta pliku jest w formacie google-json i musi być odpowiednio zinterpretowana.
Korzystanie z tej konwencji oznacza również, że plik danych nie będzie wykonywany z połączenia za pomocą znacznika skryptu ani interpretacji javascript bezpośrednio z eval(). Dzięki temu deweloperzy z przodu będą przekazywać zawartość za pomocą analizatora składni, co uniemożliwi wykonanie wszczepionego kodu.
Aby odpowiedzieć na twoje pytanie, istnieją dwa prawdopodobne ataki, które to uniemożliwiają, jeden przekierowany przez znacznik skryptu, ale bardziej interesujący jest na stronie. Oba ataki Zakładamy, że:
- błąd istnieje w jaki sposób dane użytkownika uciekł i
- jest ona wykorzystywana w sposób, który pozwala atakującemu wstrzyknąć kod w jednym z plików danych.
Jako prosty przykład, powiedzmy, że użytkownik zorientowali się, jak wziąć ciąg jak przykład
["example"]
i zmienił je na „]; alert ('Przykład');
[""];alert('example');"]
Teraz, gdy dane pojawią się w kanale innego użytkownika, osoba atakująca może wykonać dowolny kod w przeglądarce użytkownika, ponieważ znajduje się on w witrynie, pliki cookie są wysyłane na serwer, a osoba atakująca może zautomatyzować takie czynności, jak udostępnianie wpisów lub wysyłanie wiadomości do użytkowników z konta użytkownika.
W scenariuszu Google ataki te nie będą działały z wielu powodów. Pierwsze 5 znaków spowoduje błąd javascript przed uruchomieniem kodu ataku. Dodatkowo, ponieważ programiści są zmuszeni przeanalizować kod zamiast przypadkowo uruchomić go przez eval, ta praktyka i tak uniemożliwi wykonanie kodu.
Jak mówili inni, jest to ochrona przed Krzyż Script Site Integracji (XSSI)
Wyjaśniliśmy to na Gruyere jak:
Po trzecie, należy upewnić się, że skrypt nie jest wykonywalny . Standardowym sposobem wykonania tej czynności jest dodanie do niej przedrostka, który nie jest wykonywany, do , np.])} While (1) ;. Skrypt działający w tej samej domenie może odczytać zawartość odpowiedzi i usunąć prefiks, ale skrypty działające w innych domenach nie mogą tego zrobić.
- 1. ochrona przed kopiowaniem phonegap
- 2. Ochrona przed muieblackcat BOT
- 3. Ochrona przed wolnością
- 4. Ochrona przed iniekcją SQL w ColdFusion
- 5. Przestrzeń przed odpowiedzią Ajax (jQuery, PHP)
- 6. czyszczenie JSON dla XSS przed deserializacją
- 7. Ochrona przed iniekcją SQL w pythonie
- 8. Jak działa ochrona przed lukami AngularJS JSON?
- 9. Ochrona głównego wątku przed błędami w wątku roboczym
- 10. Czy createTextNode jest całkowicie bezpieczny przed iniekcją HTML i XSS?
- 11. Ochrona przed iniekcją SQL - przesyłanie od ciągu znaków do int
- 12. Ochrona przed atakiem na zakupy w aplikacji iOS
- 13. CellFilter jest wywoływany przed odpowiedzią $ HTTP w UI-Grid
- 14. Ochrona usług Amazon Web Services (AWS) S3 przed atakami DDoS
- 15. Jak zaimplementować podział przez dodanie?
- 16. Jaka jest różnica między: przed i :: przed?
- 17. Dlaczego dodanie tyldy przed dopasowaniem wzoru spowolni moją funkcję?
- 18. Czy konieczne jest dodanie znaku @ przed nazwą parametru SqlParameter?
- 19. Zamów przez: Zwrotu odebrać przed LIKE?
- 20. Zmienna przechwycona przez zamknięcie przed zainicjowaniem
- 21. Czy protokół HTTPS chroni przed atakami CSRF?
- 22. szyny rspec przed wszystkim vs przed każdym
- 23. Jak zabezpieczyć treść ajaxową
- 24. Przerwij poprzednią prośbę ajaxową na nową prośbę
- 25. $ .ready() przed zamknięciem body
- 26. Biblioteki java Anti-XSS
- 27. Wykonaj polecenie tuż przed pójściem spać Mac
- 28. Jaki jest poprawny sposób kodowania wbudowanego obiektu javascript, aby chronić go przed XSS?
- 29. Ochrona przed wtryskiem MySQL i znaki podatności na ataki przy użyciu PHP
- 30. ochrona przed CSRF w żądaniach ajaxowych i formularzach bez przycisków przesyłania
Powiązane: [Dziwna odpowiedź JSON w Google Plus] (http: // stackoverflow.com/questions/6618441/strange-json-response-in-google-plus) – dtb
To jest dokładnie pytanie, które mówiłem o "Słyszałem, że to ochrona przed XSS". – genesis
czy to będzie nowe pytanie? Możesz uzyskać więcej informacji w drugim pytaniu ... –