Возможна ли атака JSON CSRF/Theft?

Question

Я прочитал эту статью: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html

И я попытался использовать технику, но, похоже, она не работает (по крайней мере) в большинстве браузеров, которые я пробовал. В основном вы возвращаете JSON на свой сайт, а кто-то еще делает <script src="domain.com/response.php?json"></script>, а затем вы настраиваете собственные конструкторы объектов/массивов для кражи данных.

Возможно ли это в современных браузерах? Должен ли я использовать токены, чтобы предотвратить это?

Answer 1

Является ли это по-прежнему жизнеспособным с современными браузерами?

Да. И браузеры не проблема.

Не-браузерные приложения также могут обрабатывать HTTP-запросы. Такие приложения, как curl, могут быть использованы для такого рода вещей. Или вы можете написать что-нибудь в Python, используя urllib2, чтобы сделать CSRF. Вы можете легко подделывать ответы всех видов, если фреймворк не включает в себя жетоны CSRF.

Должен ли я использовать токены, чтобы предотвратить это?

No.

Вы должны найти структуру, которая обеспечивает вам поддержку для обработки этого.

Answer 2

Нет, конструктор [] больше не переопределяется, а сеттеры больше не вызывают инициализаторы объектов. См. http://www.thespanner.co.uk/2011/05/30/json-hijacking/ и Is JSON Hijacking still an issue in modern browsers?.