Webアプリ開発者はJSONハイジャックからどのように防御すべきですか？

最初の防御策は、有効なJSONを使用して仕様に固執することです 最上位エンティティとしてオブジェクトが必要 。すべての既知の攻撃は、最上位のオブジェクトが配列の場合、応答は有効であるという事実に基づいていますJava <script>タグを使用して解析できるスクリプトコード。

JSON応答に機密/非公開データが含まれている場合、要求が認証された場合にのみ応答を提供します（たとえば、認証されたセッションを示すCookieが付属しています）。

これは、軽減策ではなく、攻撃の前提条件です。ブラウザにサイトAのCookieがある場合、サイトAへのすべてのリクエストにそれが含まれます。リクエストがサイトBの<script>タグによってトリガーされた場合も同様です。

JSONデータに機密情報または非公開情報が含まれている場合は、推測不可能な秘密のURL（128ビットの暗号品質の乱数を含むURLなど）でホストし、この秘密のURLを、閲覧を許可されたユーザー/クライアントとのみ共有します。データ。

URLはセキュリティ機能とは見なされません。一般的なすべての検索エンジンには、アクセスしたURLを検索エンジンベンダーに報告するブラウザアドオン/ツールバーがあります。それらは明示的にアクセスされたURLのみを報告する可能性がありますが、JSON URLについてもこれを危険にさらすことはありません。

クライアントにJSONデータのリクエストをPOST（GETではない）として送信させ、サーバーにJSONデータのGETリクエストを無視させる。

これにより、<script>が含まれなくなります。

While（1）;を置くJSON応答の開始時に、JSONを解析する前にクライアントにそれを取り除きます。

私はこのアプローチの修正バージョンを提案します：最初に_</*_を追加します。 while(1)には2つの理由で問題があります。1つ目は、（クライアント、プロキシ、および検索エンジンで）マルウェアスキャナーをトリガーする可能性が高いことです。次に、WebサーファーのCPUに対するDoS攻撃に使用できます。これらの攻撃は明らかにサーバーから発生します。