Originariamente inviata da
U235
é un sistema di sicurezza che implementano i servizi di script ajax asp.net contro gli attacchi CSRF.
Fa in modo che la risposta sia sempre un oggetto json ( {d:[...]} al posto di [...]), in quanto alcuni vecchi browser soffrono di un problema che fa si che la risposta possa utilizzata tramite tag script (cross-domain) eseguiti con le credenziali del client.
In pratica il tuo client potrebbe entrare nel tuo sito ed autenticarsi per richiedere una risorsa dal tuo servizio (solo GET). In seguito, mentre ha ancora attiva l'autenticazione, naviga ed incappa nel sito di un male intenzionato che nella sua pagina potrebbe mettere un tag script con l'url della risorsa nel tuo sito (tramite appunto chiamata GET al servizio che restituisce il json come array) e a quel punto, essendo ancora autenticato, la pagina web eseguita sul browser del tuo ex client ottiene i dati dal tuo sito (usa ancora le tue credenziali ottenute precedentemente), il passo successivo sarebbe quelle di inviare dal browser tramite ad esempio ajax i dati ottenuti verso il server del male intenzionato senza che tu faccia nulla (compreso accorgertene...).
Rispondi quotando
