JSON injection

Что такое JSON injection?

Уязвимости JSON‑инъекции на основе DOM возникают, когда скрипт включает контролируемые атакующим данные в строку, которая затем парсится и обрабатывается приложением как структура данных JSON. Атакующий может использовать это поведение, чтобы сконструировать URL, который при посещении приведёт к обработке произвольных JSON‑данных.

Каковы последствия JSON‑инъекции?

В зависимости от цели, для которой используются эти данные, атакующий может подорвать логику веб‑сайта или вызвать непреднамеренные действия от имени другого пользователя.

Какие приёмники могут привести к уязвимостям JSON‑инъекции?

JSON.parse()
jQuery.parseJSON()
$.parseJSON()

Как предотвратить клиентские JSON‑инъекции?

В дополнение к общим мерам, описанным на странице DOM-based, следует избегать парсинга как JSON любых строк, содержащих данные из ненадежных источников.