Có phải JSON Hijacking vẫn là một vấn đề trong các trình duyệt hiện đại?

Tôi đang sử dụng Backbone.js và máy chủ web Tornado. Hành vi tiêu chuẩn để nhận dữ liệu thu thập trong Backbone là gửi dưới dạng JSON Array.

Mặt khác, hành vi tiêu chuẩn của Tornado là không cho phép JSON Array do lỗ hổng sau:

http://haacked.com/archive/2008/11/20/anatomy-of-a-subussy-json-vulnerability.aspx

Một liên quan là: http://haacked.com/archive/2009/06/25/json-hijacking.aspx

Tôi cảm thấy tự nhiên hơn khi không phải bọc JSON của mình trong một đối tượng khi nó thực sự là một danh sách các đối tượng.

Tôi không thể tái tạo các cuộc tấn công này trong các trình duyệt hiện đại (ví dụ Chrome, Firefox, Safari và IE9 hiện tại). Đồng thời tôi không thể xác nhận bất cứ nơi nào các trình duyệt hiện đại đã giải quyết các vấn đề này.

Để đảm bảo rằng tôi không bị đánh lừa bởi bất kỳ kỹ năng lập trình kém hay kỹ năng lập trình kém nào:

Có phải các cuộc tấn công Hijacking JSON này vẫn còn là một vấn đề ngày nay trong các trình duyệt hiện đại?

(Lưu ý: Xin lỗi vì sự trùng lặp có thể: Có thể làm 'JSON tặc' trên trình duyệt hiện đại? Nhưng kể từ khi câu trả lời được chấp nhận dường như không trả lời câu hỏi - Tôi nghĩ đó là thời gian để hỏi nó một lần nữa và nhận được một số lời giải thích rõ ràng hơn .)

Không, không còn có thể nắm bắt các giá trị được chuyển đến []hoặc các nhà {}xây dựng trong Firefox 21, Chrome 27 hoặc IE 10. Đây là một trang thử nghiệm nhỏ, dựa trên các cuộc tấn công chính được mô tả trong http://www.thespanner.co.uk / 2011/05/30 / json-cướp / :

( http://jsfiddle.net/ph3Uv/2/ )

var capture = function() {
    var ta = document.querySelector('textarea')
	ta.innerHTML = '';
	ta.appendChild(document.createTextNode("Captured: "+JSON.stringify(arguments)));
	return arguments;
}
var original = Array;

var toggle = document.body.querySelector('input[type="checkbox"]');
var toggleCapture = function() {
    var isOn = toggle.checked;
    window.Array = isOn ? capture : original;
    if (isOn) {
        Object.defineProperty(Object.prototype, 'foo', {set: capture});    
    } else {
        delete Object.prototype.foo;
    }
};
toggle.addEventListener('click', toggleCapture);
toggleCapture();

[].forEach.call(document.body.querySelectorAll('input[type="button"]'), function(el) {
    el.addEventListener('click', function() {
        document.querySelector('textarea').innerHTML = 'Safe.';
        eval(this.value);
    });
});

<div><label><input type="checkbox" checked="checked"> Capture</label></div>
<div><input type="button" value="[1, 2]" /> <input type="button" value="Array(1, 2);" /> <input type="button" value="{foo: 'bar'}" /> <input type="button" value="({}).foo = 'bar';" /></div>
<div><textarea></textarea></div>

Nó ghi đè window.Arrayvà thêm một trình thiết lập Object.prototype.foovà kiểm tra khởi tạo mảng và đối tượng thông qua các hình thức ngắn và dài.

Thông số ES4 , trong phần 1.5, "yêu cầu các ràng buộc tiêu chuẩn, toàn cầu của Object và Array được sử dụng để xây dựng các đối tượng mới cho các trình khởi tạo đối tượng và mảng" và ghi chú trong "Precentent" mà Internet Explorer 6, Opera 9.20 và Safari 3 thực hiện không tôn trọng các phản ứng cục bộ hoặc toàn cầu của Object và Array, nhưng sử dụng các hàm tạo Object và Array gốc. " Điều này được giữ lại trong ES5, phần 11.1.4 .

Allen Wirfs-Brock giải thích rằng ES5 cũng chỉ định rằng việc khởi tạo đối tượng không nên kích hoạt setters, vì nó sử dụng DefineOwnProperty. MDN: Làm việc với các đối tượng lưu ý rằng "Bắt đầu trong JavaScript 1.8.1, setters không còn được gọi khi thiết lập các thuộc tính trong các trình khởi tạo đối tượng và mảng." Điều này đã được giải quyết trong vấn đề V8 1015 .