Каков наиболее безопасный способ открыть OData читать/получать конечную точку без риска атак CSRF, таких как этот один?
Я не смотрел источник, но как работает MSFT Библиотека ODATA в этом отношении сравнима с jQuery:
Как безопасно читать и писать вызовы OData? (например, не уязвимы для CSRF?)
Ответы (1)
OData был разработан для предотвращения атаки перехвата JSON, описанной в ссылке, путем возврата только объектов в качестве результатов JSON, что делает полезную нагрузку недопустимой программой JavaScript и поэтому не будет выполняться браузером.
Это действительно не зависит от того, используете ли вы datajs или jQuery. Я не смотрел на точный результат, который вы получаете от jQuery, но я знаю, что datajs «развернет» результаты, чтобы вы получили более естественный результат без каких-либо искусственных объектов верхнего уровня.
В частности, реализация WCF Data Services для .NET не поддерживает JSONP из коробки, хотя есть несколько популярных простых решений для его добавления. Однако в этот момент вы в основном решили разрешить просмотр данных из других доменов, поэтому этого не следует делать для пользовательских данных.
person
Marcelo Lopez Ruiz
schedule
11.02.2011
