Sto usando Backbone.js e il server web Tornado. Il comportamento standard per la ricezione di dati di raccolta in Backbone è l'invio come array JSON.
D'altro canto, il comportamento standard di Tornado è di non consentire l'array JSON a causa della seguente vulnerabilità:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
Uno correlato è: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
Mi sembra più naturale non dover avvolgere il mio JSON in un oggetto quando si tratta davvero di un elenco di oggetti.
Non sono riuscito a riprodurre questi attacchi nei browser moderni (ovvero Chrome, Firefox, Safari e IE9 attuali). Allo stesso tempo, non sono stato in grado di confermare da nessuna parte che i browser moderni avevano affrontato questi problemi.
Per assicurarmi di non essere fuorviato né da eventuali scarse capacità di programmazione né da scarse capacità di googling:
Questi attacchi al dirottamento JSON sono ancora oggi un problema nei browser moderni?
(Nota: ci scusiamo per il possibile duplicato di: è possibile eseguire il "dirottamento JSON" sul browser moderno? Ma poiché la risposta accettata non sembra rispondere alla domanda, ho pensato che fosse il momento di chiedere di nuovo e ottenere alcune spiegazioni più chiare .)