在下面的视频中，时间标记为 21:40，Microsoft PDC 演示者说重要的是要包装所有 JSON，这样它就不是顶级数组:

https://channel9.msdn.com/Events/PDC/PDC09/FT12

展开的顶级数组有什么风险？

我应该如何检查自己是否易受攻击？我从第三方购买了许多组件，并有开发我的代码的外部 vendor 。

最佳答案

这是因为几年前 Jeremiah Grossman 发现了一个非常 interesting vulnerability that affects gmail .有些人通过使用 unparseable cruft 解决了这个漏洞。 (bobince 先生在此页面上的技术描述非常棒。)

微软之所以谈论这个是因为他们还没有修补他们的浏览器。 (编辑: Edge 和 IE 10/11 的最新版本已经解决了这个问题。)Mozilla 认为这是 json 规范中的一个漏洞，因此他们在 Firefox 3 中对其进行了修补。 .作为记录，我完全同意 Mozilla 的观点，但不幸的是，每个 Web 应用程序开发人员都必须保护自己免受这个非常模糊的漏洞的影响。

关于javascript - 什么是 "top level JSON arrays"，为什么它们存在安全风险？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/3503102/