Discussoes de Programacao e Tecnologia

Segurança com Jquery e JSON

3 respostas
P
pqnoje

Boa noite.
Gostaria de saber se alguém tem alguma contra indicação de Jquery e JSON.
Eu uso Actions que sempre devolvem arquivos JSON e uso Jquery pra parsear os atributos retornados em todas as páginas. Alguém ve alguma falha de segurança ao fazer isso?
Grato.

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

3 Respostas

Luizao
Luizao

Se vc usa como dataType: ‘script’ em vez de ‘json’ na requisição, e os atributos forem informados pelo usuário, vc corre o risco de sofrer com cross-site scripting. A solução é usar sempre json como dataType e nunca dar eval nos atributos retornados. Se vc realmente precisar usar como dataType ‘script’, vc precisa escapar os dados informados pelo usuário.

P
pqnoje

O usuário envia a requisição via post e a resposta sempre retorna com uma String em formato JSON, eu apenas reponho os atributos deste nas tags HTML.
Tem algum artigo sobre cross-site scripting pra eu ler, preciso entender sobre esse assunto, porque não sei absolutamente nada. e o que seria dar eval nos atributos retornados?

Eu faço uma requisição no servidor por exemplo http://localhost:8080/Project/GetSessionUserInfoAction. Isso me retorna um objeto do tipo usuário que tem os atributos nome, sobrenome, telefone, endereço.
O que eu me preocupo é a pessoa conseguir mudar o atributo da sessão. Não sei como funciona as sessões no Struts2(Framework que uso), se o usuário conseguir alterar o usuário dessa sessão de alguma forma, talvez ele consiga pegar informações de outro usuário. É perigoso acontecer isso?
Outro problema que eu posso encontrar é alguém usar o meu sistema como um tipo de redirecionamento de webservice. Eu uso o ws dos correios para calcular frete e mando um post com o atributo do cep para o meu servidor processar e devolver os atributos em JSON. Meu servidor não iria aguentar um monte de requisições de outro site. Eu poderia muito bem me aproveitar de algum site que pega cotações e devolve de um jeito que eu posso aproveitar por exemplo do XML ou JSON devolvido, não é?
Enfim, a minha preocupação é evitar que usem esse negocio que não sei o nome, para aproveitar dos meus atributos.
Grato.

Luizao
Luizao


https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Quando vc usa o tipo ‘script’ como dataType, o navegador pega o resultado da requisição e repassa para o eval, que interpreta e executa a string.

Não sei se entendi sua dúvida, mas o ws que vc criou não tem autenticação? Se puder, explique melhor o que vc está fazendo.

Criado 4 de junho de 2012
Ultima resposta 4 de jun. de 2012
Respostas 3
Participantes 2

Topicos relacionados

Compilar e executar uma classe java pelo prompt do windows 13 respostas [RESOLVIDO] Como executar função JavaScript após página carregada 13 respostas Java.lang.OutOfMemoryError: Java heap space - Como resolver? 11 respostas Como consultar CPF na Receita Federal usando Web Service? 22 respostas Como acessar localhost de forma externa? [RESOLVIDO] 13 respostas
Alura Sistemas operacionais: entenda seu conceito e suas funções Descubra o que são sistemas operacionais, suas funções e tipos. Aprenda tudo de forma clara e objetiva. Não perca tempo!
Casa do Codigo Aprenda JavaScript com Dashboards: Seus primeiros passos... Por Lucas Tauil — Casa do Codigo