RESTful中的JSON注射

Question

我是新的网络应用程序，没有太多的信息。在google中进行JSON注入。

请您对以下问题提供一些见解。

1. 什么是JSON注入？
2. JSON注入是客户端攻击还是服务器端攻击？
3. 如何从RESTful应用程序的角度处理JSON注入安全问题？

Answer 1

什么是JSON注入？

这是一种利用服务器如何读取JSON信息的漏洞进行的攻击。

JSON注入是客户端攻击还是服务器端攻击？

我不能说攻击有多有创意。大多数被认为是服务器端的攻击，因为主要目标是操作发送给服务器的JSON，以查看服务器是否以意外的方式处理此JSON，从而为恶意用户产生所需的效果，或者显示一些可供其使用的合理信息。

如何从RESTful应用程序的角度处理JSON注入安全问题？

安全性确实是一个复杂的问题，甚至是涉及JSON。但我相信你可以采取一些基本措施来防止最明显的问题。

一些基本操作：

• 使您的系统处理所有类型的异常，。始终为用户显示一条好消息，而不对您的系统有任何敏感的细节。这样可以防止某些堆栈跟踪错误导致一些对恶意用户有用的信息。
• 在输出JSON响应的内容类型时声明字符集。对此，大多数框架都已经有了。
• 尝试不为资源标识符使用序列编号。改用UUID/GUID。
• 避免手工读取/构建JSON， 使用框架。

并阅读关于AJAX的OWASP文档。他们展示了一些与JSON相关的好建议。