JSON其實并不像我們認為的那樣完全安全，黑客可以通過JSON數組中的跨站點請求偽造（CSRF）從不知情的用戶那里獲取敏感的用戶數據。

這主要是公開包含JSON數組、敏感數據、響應GET請求、啟用JavaScript的請求、支持_u defineSetter_方法的請求的JSON服務。

那么如何防止JSON漏洞，防止JSON劫持，即：防止CRSF攻擊，達到保護敏感數據的目的，這就是本篇文章要給大家介紹的。

1、所有請求方法都必須是POST并阻止您的代碼只接受POST請求（這是最重要的）

$ .ajax({
 url：'http://yourdomainname.com/login'，
 dataType：'json'，
 data：JSON.stringify(dataObject)，
 contentType：'application / json; charset=utf-8' ，
 type: 'POST'，
 success：function(jsonData){
 //成功回調
 }，
 error:function(){
 //要處理的任何錯誤
 }
 });

2、在請求中添加唯一的CSRF令牌可防止應用程序進行cookie劫持和錯誤請求。

3、始終在請求中使用安全傳輸協議（HTTPS）。

4、在提供對請求的響應之前，檢查特殊標頭，例如X-Requested-With：XMLHttpRequest或Content-Type：application / json。

5、管理用戶訪問日志來檢查哪些用戶活動。

6、使用API和結束URL身份驗證來驗證當前端點。

7、使用基于令牌的API訪問，例如JSON Web Tokens（JWT）。

8、實現錯誤處理，不要在API調用中提供任何技術細節。

總結：

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com