JSON中的安全问题,如何防止攻击?

JSON本身不存在任何安全问题，但是在web中使用JSON时却常出现两个安全问题：跨站请求伪造和跨站脚本攻击。

跨站请求伪造

跨站请求伪造（CSRF）是一种利用站点对用户浏览器的信任而发起攻击的方式。

这个信任其实就是用户的登录凭证，黑客为了得到用户的凭证，会在用户登录站点的情况下向用户发送大量的伪造“消息提醒”，目的就是为了让用户点击它，访问它带有危险脚本的网站。一旦用户点击这一消息提醒、访问该恶意网站，黑客就可获取用户的敏感信息（登录凭证）实现攻击：

一般安全意识较差的网站使用下列这样的JSON URL存放敏感信息：

[
    {
        "username":"dawei"
    },
    {
        "phone":"555-555-555"
    }
]

这里的JSON格式是合法的，但是它十分危险，因为它也是可执行的JS脚本，黑客可以轻易的将其保存到自己站点的脚本中。

如何阻止CSRF攻击？

首先，应该将数组作为一个值存入JSON对象，这样数组将不再是合法的JavaScript，脚本也就无法加载它。

{
    "info":[
        {
            "username":"dawei"
        },
        {
            "phone":"555-555-555"
        }
    ]
}

其次，站点应该只允许post请求，静止使用get请求。这样黑客就无法使用脚本中的URL了。

注入攻击

注入攻击都是利用系统本身的漏洞向网站注入恶意代码来进行攻击的。

跨站脚本攻击

跨站脚本攻击（XSS）是注入攻击的一种。在使用JSON时常见的安全漏洞通常发生在Javascript从服务器获取到一段JSON字符串并将其转化成JavaScript对象的时候。

在JavaScript中，可以使用eval()函数来进行这一操作：

var jsonString = '{"animal":"cat"}';
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);

这好像没什么问题，但是如果服务器或者服务器发来的JSON被攻击，携带了恶意代码，这样的话情况将会很糟糕：

var jsonString = "alert('this is bad code')";
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);

eval()的问题在于它会将传入的字符串无差别的编译执行，这样的话就会给黑客以可乘之机，很可能会给我们带来不可估计的损失。

为了解决这一问题，引入了JSON.parse()方法，这一函数仅解析JSON，不会执行脚本：

var jsonString = '{"animal":"cat"}';
var myObject = JSON.parse("("+ jsonString +")");
alert(myObject.animal);