Die Injektion von javascript in JSON und Sicherheit

Habe ich einen online-Dienst, wo Benutzer erstellen können, die json-Dokumente gesichert. Diese werden dann auf einem server gespeichert und können von anderen Benutzern geladen werden. Das json wird dann dekodiert, genau so, wie es eingereicht wurde. Gibt es irgendwelche Sicherheitsrisiken im Falle, dass ein Benutzer Stampfer mit dem json, bevor Sie es abschicken und spritzt beliebigen javascript-Code, der dann ausgeführt wird, auf den Zuschauer' browser? Ist das überhaupt möglich? das ist es, was ich brauche, um zu wissen, ob dies möglich ist, oder zur willkürlichen Ausführung von javascript aus einer json-Zeichenfolge ist möglich.

InformationsquelleAutor penguinrob | 2011-06-22
  1. 5

    JSON traditionell wurde analysiert mit einem eval() Aussage, die in etwa so unsicher, wie es möglich ist, zu bekommen. Wenn Sie zulassen, Ihre Anwendung unsicher.

    • Gibt es einen json-parser, der nicht eval() überhaupt?
    • Python-parser nicht auswerten javascript 😉
    • Außerdem ist Chrome JSON-parser unsicher? Diese Anwendung wird von chrome-only, also ie und gecko ist egal, hier
    • nicht-Parser Schuld, sondern Ihre Anwendung, wenn Sie erlauben die Ausführung von was auch immer die Eingaben von Benutzern. in diesem Fall sollte der server bereinigt die Eingabe von Daten, wie es bekommt und nur senden Sie eine saubere json an den browser
    • Yep. Wenn Sie akzeptieren die json aus der Anwender, analysieren und überprüfen Sie server-Seite (würde ich parse es in eine python-Datenstruktur, und speichern Sie dann als eine Gurke, dann wieder serialisieren zu JSON auf der Ausgabe), sind Sie wahrscheinlich ok. Nicht reflektieren einen Benutzer ungeprüfte-input-hin zu einem anderen, immer.
    • Ok, danke @Paul McMillan. Wahrscheinlich werde ich nur parse und stringify es auf der server-Seite (eigentlich über lua für die server-Seite, ist das ok?)

    InformationsquelleAutor Paul McMillan
  2. 9

    Dies hängt ganz davon ab, a) ob Sie jetzt die JSON auf server-Seite, und (noch mehr) auf b) wie bist du Dekodierung von JSON auf der client-Seite, wenn Sie erneut laden.

    • Code, der verwendet eval() Deserialisieren des JSON in ein Javascript-Objekt ist offen, die genau die angreifen, die Sie beschreiben.

    • Code, der verwendet JSONP zum laden der JSON - (dh Weitergabe der JSON als Javascript-literal zu einer benannten callback-Funktion) ist offen für den Angriff, die Sie beschreiben (es ist effektiv dasselbe wie die Verwendung eval()).

    • Robustesten JSON-parsing-Mechanismen (z.B. json2.js die jQuery $.parseJSON Funktion oder native JSON.parse() Funktionen in Browsern, die es unterstützen) wird nicht akzeptieren, JSON, die nicht Folgen Sie den JSON-Spezifikation. Also, wenn Sie eine Bibliothek zum Parsen der JSON-string, können Sie sicher sein.

    • Egal, wie Sie beabsichtigen, laden Sie die JSON-auf der client-Seite, es ist eine gute Praxis, Peeling jeden Benutzer eingereichte Inhalte auf der server-Seite. In diesem Fall können Sie server-side-code, um zu überprüfen, dass die JSON-auch gültig ist (z.B. mit json.loads(user_submitted_json) in Python und abfangen von Fehlern).

    Also mit etwas Sorgfalt sowohl auf der server-Seite und client-Seite, sollten Sie in der Lage sein, dies sicher zu machen.

    • funktioniert die jQuery-parser mit eval()?
    • Ja, ich denke, Sie tut es - aber nur nach sorgfältiger Prüfung der string überprüfen und sicherstellen, dass es hält sich an die JSON spec. So sollte es sicher sein. Ich glaube, es nutzt auch die native browser - JSON.parse Implementierung zunächst, falls dies möglich ist.
    InformationsquelleAutor nrabinowitz
  3. 7
    <plug shameless="true">

    JSON sans eval wurde so entwickelt, um Probleme mit fehlerhaften JSON, während man noch effizienter zu analysieren.

    Diese JSON-parser nicht versucht, diese zu validieren JSON, so kann ein ResultSet zurück gegeben wird eine syntaktisch ungültige Eingabe, aber nicht mit eval so ist deterministisch und ist garantiert nicht zu ändern, die keinem anderen Objekt als Rückgabe-Wert.

    Gibt es eine Reihe von JSON-Parser in JavaScript json.org. Diese Umsetzung sollte immer verwendet werden, wenn Sicherheit ein Anliegen ist (als JSON kann von einer vertrauenswürdigen Quelle kommen), die Geschwindigkeit ist ein Anliegen, und erroring auf fehlerhafte JSON ist nicht von Belang.

    </plug>
    InformationsquelleAutor Mike Samuel
Schreibe einen Kommentar