众所周知Facebook uses javascript responses (JS,不是 json)这是前缀 while(1) & for(;;);为了防止脚本标签在旧浏览器为 being overloaded with their Array ctor & Object ctor. 时窃取 json 数据
但是从最近的尝试来看,情况似乎不再是这样了(对于 friend 列表,我确定它被使用了)
注意现在,内容类型是:
content-type: application/octet-stream
但他们为什么要这么做?现在安全吗? (我知道它适用于较旧的浏览器,但仍然...)。
我知道 [..]的 ctor 有问题。但是{..}呢?的负责人?
问题:
为什么 facebook 删除了无限循环?他们现在如何缓解 json 劫持?
我的意思是,如果 <script> 现在会发生什么?标签将尝试获取“getFiriends”列表? (在非常旧的浏览器中)
注意
值得一提的是,对于 {..},还有其他响应具有无限循环!!
:
也在这里( Object ,无限循环)
最佳答案
这种攻击(将 JSON 作为 <script> 加载)基于以下几个假设:
1) JSON 本身是有效的 JS(这就是 for(;;) 的变化),这也意味着它可能不以 { 开头因为这是一个 block 语句,不包含键值对:
{ "a": 1 } // invalid JS, valid JSON *
[{ "a": 1 }] // valid JS, valid JSON
2) 浏览器很旧 ( < 1% of the total users ),因为用文字构造数组不会调用 Array在较新的浏览器中运行(ES5 支持是对这些浏览器的一个很好的估计)。
因此,这种攻击在这种情况下是不可能的,因为您提到的 API 返回一个对象,因此 (1) 没有被完全填充。而且即使 API 会返回一个数组,理论上也只有极少数人会被劫持:
1)浏览器必须很老,然后浏览器本身可能是一个更大的风险,浏览器甚至必须支持JavaScript。
2) 客户端必须访问恶意网站,由于各级垃圾邮件过滤器/黑名单,这种情况不太可能发生。
3) 用户在访问恶意网站时必须在 facebook 上登录。
Worth to mention that there are still others responses with infinite loop
我想这通常已成为过去。重构/迁移所有 API 需要一段时间。如果您考虑 Facebook 的规模,我假设添加/删除这 5 个字符会导致大量开销。
*:如果您尝试加载 { a: 1 }您会发现它不会抛出 SyntaxError!然而,这既不是有效的 JSON,也不会创建对象(它在 blocn 语句中标记为 1)。
关于javascript - Facebook 突然可以安全地防止 JSON 劫持了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55206306/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
查看Ruby的CSV库的文档,我非常确定这是可能且简单的。我只需要使用Ruby删除CSV文件的前三列,但我没有成功运行它。 最佳答案 csv_table=CSV.read(file_path_in,:headers=>true)csv_table.delete("header_name")csv_table.to_csv#=>ThenewCSVinstringformat检查CSV::Table文档:http://ruby-doc.org/stdlib-1.9.2/libdoc/csv/rdoc/CSV/Table.html
在我的Controller中,我通过以下方式在我的index方法中支持HTML和JSON:respond_todo|format|format.htmlformat.json{renderjson:@user}end在浏览器中拉起它时,它会自然地以HTML呈现。但是,当我对/user资源进行内容类型为application/json的curl调用时(因为它是索引方法),我仍然将HTML作为响应。如何获取JSON作为响应?我还需要说明什么? 最佳答案 您应该将.json附加到请求的url,提供的格式在routes.rb的路径中定义。这
我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的
我正在阅读SandiMetz的POODR,并且遇到了一个我不太了解的编码原则。这是代码:classBicycleattr_reader:size,:chain,:tire_sizedefinitialize(args={})@size=args[:size]||1@chain=args[:chain]||2@tire_size=args[:tire_size]||3post_initialize(args)endendclassMountainBike此代码将为其各自的属性输出1,2,3,4,5。我不明白的是查找方法。当一辆山地自行车被实例化时,因为它没有自己的initialize方法
我有一个rubyonrails应用程序。我按照facebook的说明添加了一个像素。但是,要跟踪转化,Facebook要求您将页面置于达到预期结果时出现的转化中。即,如果我想显示客户已注册,我会将您注册后转到的页面作为成功对象进行跟踪。我的问题是,当客户注册时,在我的应用程序中没有登陆页面。该应用程序将用户带回主页。它在主页上显示了一条消息,所以我想看看是否有一种方法可以跟踪来自Controller操作而不是实际页面的转化。我需要计数的Action没有页面,它们是ControllerAction。是否有任何人都知道的关于如何执行此操作的gem、文档或最佳实践?这是进入布局文件的像素
我们的git存储库中目前有一个Gemfile。但是,有一个gem我只在我的环境中本地使用(我的团队不使用它)。为了使用它,我必须将它添加到我们的Gemfile中,但每次我checkout到我们的master/dev主分支时,由于与跟踪的gemfile冲突,我必须删除它。我想要的是类似Gemfile.local的东西,它将继承从Gemfile导入的gems,但也允许在那里导入新的gems以供使用只有我的机器。此文件将在.gitignore中被忽略。这可能吗? 最佳答案 设置BUNDLE_GEMFILE环境变量:BUNDLE_GEMFI
我喜欢使用Textile或Markdown为我的项目编写自述文件,但是当我生成RDoc时,自述文件被解释为RDoc并且看起来非常糟糕。有没有办法让RDoc通过RedCloth或BlueCloth而不是它自己的格式化程序运行文件?它可以配置为自动检测文件后缀的格式吗?(例如README.textile通过RedCloth运行,但README.mdown通过BlueCloth运行) 最佳答案 使用YARD直接代替RDoc将允许您包含Textile或Markdown文件,只要它们的文件后缀是合理的。我经常使用类似于以下Rake任务的东西:
我想让一个yaml对象引用另一个,如下所示:intro:"Hello,dearuser."registration:$introThanksforregistering!new_message:$introYouhaveanewmessage!上面的语法只是它如何工作的一个例子(这也是它在thiscpanmodule中的工作方式。)我正在使用标准的rubyyaml解析器。这可能吗? 最佳答案 一些yaml对象确实引用了其他对象:irb>require'yaml'#=>trueirb>str="hello"#=>"hello"ir