JSON 劫持在现代浏览器中仍然是一个问题吗？

小开

最佳答案

不，在 Firefox 21、 Chrome 27或 IE 10中不再可能捕获传递给 []或 {}构造函数的值。下面是一个基于 http://www.thespanner.co.uk/2011/05/30/json-hijacking/中描述的主要攻击的小测试页面:

(http://jsfiddle.net/ph3Uv/2/)

var capture = function() {
var ta = document.querySelector('textarea')
ta.innerHTML = '';
ta.appendChild(document.createTextNode("Captured: "+JSON.stringify(arguments)));
return arguments;
}
var original = Array;


var toggle = document.body.querySelector('input[type="checkbox"]');
var toggleCapture = function() {
var isOn = toggle.checked;
window.Array = isOn ? capture : original;
if (isOn) {
Object.defineProperty(Object.prototype, 'foo', {set: capture});
} else {
delete Object.prototype.foo;
}
};
toggle.addEventListener('click', toggleCapture);
toggleCapture();


[].forEach.call(document.body.querySelectorAll('input[type="button"]'), function(el) {
el.addEventListener('click', function() {
document.querySelector('textarea').innerHTML = 'Safe.';
eval(this.value);
});
});

<div><label><input type="checkbox" checked="checked"> Capture</label></div>
<div><input type="button" value="[1, 2]" /> <input type="button" value="Array(1, 2);" /> <input type="button" value="{foo: 'bar'}" /> <input type="button" value="({}).foo = 'bar';" /></div>
<div><textarea></textarea></div>

它覆盖 window.Array并向 Object.prototype.foo添加一个 setter，并通过短形式和长形式测试初始化数组和对象。

在第1.5节中，ES4规格“要求对象和数组的全局、标准绑定用于为对象和数组初始化器构造新的对象”，并在实现先例中指出，“ Internet Explorer 6、 Opera 9.20和 Safari 3不尊重对象和数组的本地或全局重绑定，而是使用原始的对象和数组构造器。”这保留在 ES5第11.1.4节中。

Allen Wirfs-Brock 解释说 ES5还指定对象初始化不应触发 setter，因为它使用 Definition eOwnProperty。MDN: 使用对象指出: “从 JavaScript1.8.1开始，在对象和数组初始化器中设置属性时不再调用 setter。”这是在 V8第1015期中提到的。