J'utilise Backbone.js et le serveur Web Tornado. Le comportement standard pour recevoir des données de collection dans Backbone consiste à envoyer en tant que tableau JSON.
D'autre part, le comportement standard de Tornado est de ne pas autoriser JSON Array en raison de la vulnérabilité suivante:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
Un lien connexe est: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
Il me semble plus naturel de ne pas avoir à envelopper mon JSON dans un objet alors qu'il s'agit vraiment d'une liste d'objets.
Je n'ai pas pu reproduire ces attaques dans les navigateurs modernes (c'est-à-dire Chrome, Firefox, Safari et IE9 actuels). Dans le même temps, je n'ai pu confirmer nulle part que les navigateurs modernes avaient résolu ces problèmes.
Pour m'assurer que je ne suis trompé ni par d'éventuelles faibles compétences en programmation ni par de mauvaises compétences en recherche sur Google:
Ces attaques de détournement JSON sont-elles toujours un problème aujourd'hui dans les navigateurs modernes?
(Remarque: Désolé pour le doublon possible à: Est-il possible de faire un `` détournement JSON '' sur un navigateur moderne? Mais comme la réponse acceptée ne semble pas répondre à la question - j'ai pensé qu'il était temps de la poser à nouveau et d'obtenir des explications plus claires .)