昨天,我读了一些关于如何防止
Json Hijacking with Asp.Net MVC的好文章.规则是:永远不要通过get请求以json格式发送合理数据.通过在谷歌上进行简单搜索,您可以轻松地学习如何定义一个脚本,该脚本将用于在其身份验证cookie的帮助下从其他用途中提取数据.
但在阅读完所有这些文章之后,我不知道为什么用Ajax Jquery发布请求做Json Hijacking是不可能的.我读到Ajax请求受制于相同的源策略,但JQuery有一个属性可以执行跨域请求.
在这种情况下,是否可以在文档就绪事件中使用$.postJSON对脚本执行Json Hijacking?如果是或否,你能解释我究竟是为什么吗?
这是一堆简单的代码来做我正在思考的事情:
$.postJSON = function (url,data,callback) {
$.post(url,callback,"json");
};
<script>
$(function(){
$.postJSON("/VulnerableSite/ControllerName/ActionName",{ some data parameters },function() {
// Code here to send to the bad guy the data of the hacked user.
}
});
</script>
非常感谢你.
