这是众所周知的重写在Javascript中的对象可能会导致安全问题,或只是发展错误。我很担心这里的安全。是否可以验证Browser-Javascript会话的完整性?
假设我有一个敏感的JSON结果将被保存在一个变量中......并且该变量先前已用_prototypes,getter/setter定义。进一步假设,不是只是一个内存分配,结果被发送到一个函数发送给一个“坏人”。现在我的敏感数据在我的应用程序之外。
我的目的是找到一种方法,在给定浏览器内启动会话之前,将Javascript,cookies,SOP和内存“清除”回到原始状态。
我知道我在这里提到了一些棘手的组件,但可以进行任何清理或验证吗?
是否可以将内存中状态重置为已知良好状态?
+1只是因为它被标记为'javascript'和'安全性'。哦谢谢。这是我的一天。 – DefyGravity 2012-03-05 01:32:20
请记住,如果我问为什么?为了什么? – Joseph 2012-03-05 01:35:20
@joseph - 有很多利用重新定义的getter/setter和Javascript的其他方面的漏洞利用。如果我可以重新初始化代码,我会有一个已知的起点。有时这可能需要在会话开始时发生,有时可能需要稍后发生(例如在一段时间之后)。 – LamonteCristo 2012-03-05 01:38:45