背景与价值XSSI通过直接以<script>加载JSON触发同源泄露。统一前缀与类型治理可有效阻断此类攻击链。统一规范前缀:统一 `)]}',\n`。类型与nosniff:下发 `Content-Type: application/json; charset=utf-8` 与 `X-Content-Type-Options: nosniff`。客户端去前缀:解析前统一剥离前缀。核心实现响应前缀与头设置type Res = { setHeader: (k: string, v: string) => void; end: (b?: string) => void } function jsonWithPrefix(res: Res, body: any) { res.setHeader('Content-Type', 'application/json; charset=utf-8') res.setHeader('X-Content-Type-Options', 'nosniff') const s = ')]}\',\n' + JSON.stringify(body) res.end(s) } 客户端去前缀function stripPrefix(s: string): string { return s.replace(/^\)\]\}',\n/, '') } 落地建议所有敏感JSON响应统一添加前缀并设置类型与nosniff;客户端统一去前缀再解析。验证清单是否下发标准前缀与正确类型;客户端是否剥离前缀后解析。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复