이 JSON을 구문 분석하려고 할 때 :
[
{"name":"name1","id":12},
{"name":"name2","id":11},
{"name":"name3","id":111},
{"name":"name4","id":1115}
]
Kinvey의 BAAS에 대한 POST 요청에서 오류가 발생합니다.
{
"error": "Unable to parse the JSON in the request"
}
다음 은 내 백엔드 (Kinvey)의 스크린 샷입니다.
다음 은 내 요청 (Postman)의 스크린 샷입니다.
단일 엔터티를 보낼 때 {"name":"name1","id":12}
오류가 발생하지 않고 필요한대로 백엔드에 배치됩니다. 여기 사진 : Kinvey가 일했습니다.
보안 조치로 일부 프레임 워크는 최상위 배열을 JSON으로 구문 분석하지 않습니다. 이렇게하면 일부 오래된 브라우저에서 악용이 가능해졌습니다.
익스플로잇은 다음과 같이 진행됩니다.
Array
내용을 다른 변수에 저장하는 함수로 대체 하는 Javascript를 작성 하십시오.
악성 사이트에서 <script>
태그를 사용하여 다른 서버의 일부 권한 (JSON 배열) 리소스에 대한 요청을 포함합니다 .
해당 서버에 대한 권한이있는 사용자를 속여 사이트를 방문하도록합니다.
요청 된 리소스는 무해한 서버에서 가져 와서 사용자의 브라우저에 스크립트로로드되고 평가됩니다. 그러나 어레이는 원하는대로 사용할 수있는 악성 대체 기능에 의해 처리됩니다. 교차 사이트 요청 위조 의 한 형태입니다 .
"Kinvey 컬렉션에 여러 엔터티를 어떻게 업로드합니까?"라는 질문에 대한 대답은 Kinvey 문서에 있습니다 .
"일괄 업로드의 경우 Kinvey 콘솔의 CSV / JSON 가져 오기 기능을 참조하십시오 (컬렉션으로 이동하고 설정을 클릭 한 다음 데이터 가져 오기를 클릭하십시오)."
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다