json其实并不像我们认为的那样完全安全,黑客可以通过json数组中的跨站点请求伪造(csrf)从不知情的用户那里获取敏感的用户数据。
这主要是公开包含json数组、敏感数据、响应get请求、启用javascript的请求、支持_u definesetter_方法的请求的json服务。
那么如何防止json漏洞,防止json劫持,即:防止crsf攻击,达到保护敏感数据的目的,这就是本篇文章要给大家介绍的。
1、所有请求方法都必须是post并阻止您的代码只接受post请求(这是最重要的)
$ .ajax({ url:'http://yourdomainname.com/login', datatype:'json', data:json.stringify(dataobject), contenttype:'application / json; charset=utf-8' , type: 'post', success:function(jsondata){ //成功回调 }, error:function(){ //要处理的任何错误 } });
2、在请求中添加唯一的csrf令牌可防止应用程序进行cookie劫持和错误请求。
3、始终在请求中使用安全传输协议(https)。
4、在提供对请求的响应之前,检查特殊标头,例如x-requested-with:xmlhttprequest或content-type:application / json。
5、管理用户访问日志来检查哪些用户活动。
6、使用api和结束url身份验证来验证当前端点。
7、使用基于令牌的api访问,例如json web tokens(jwt)。
8、实现错误处理,不要在api调用中提供任何技术细节。
总结:以上就是本篇文章的全部内容,希望能对大家的学习有所帮助。
以上就是如何保护数据并防止json漏洞和劫持的详细内容。