Возможна ли атака JSON CSRF / Theft?

Question

Я читал эту статью: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html

И я пытался использовать эту технику, но, похоже, она не работает (по крайней мере) в большинстве браузеров, которые я пробовал.По сути, вы возвращаете JSON на свой сайт, а кто-то другой делает <script src="domain.com/response.php?json"></script>, а затем настраиваете свои собственные конструкторы объектов / массивов для кражи данных.

Это все еще жизнеспособно в современных браузерах?Стоит ли использовать токены для предотвращения этого?

Answer 1

Нет, конструктор [] больше не может переопределяться, и сеттеры больше не вызываются для инициализаторов объектов.См. http://www.thespanner.co.uk/2011/05/30/json-hijacking/ и Является ли JSON Hijacking все еще проблемой в современных браузерах? .

Answer 2

Это все еще жизнеспособно с современными браузерами?

Да. И браузеры не проблема.

Небраузерные приложения также могут отправлять HTTP-запросы. Приложения типа curl, вероятно, могут быть использованы для такого рода вещей. Или вы можете написать что-нибудь на Python, используя urllib2 для CSRF. Вы можете легко подделать ответы всех видов, если среда не содержит должным образом токены CSRF.

Должен ли я использовать токены, чтобы предотвратить это?

Нет.

Вы должны найти платформу, которая предоставит вам поддержку для обработки этого.