Estoy usando Backbone.js y el servidor web Tornado. El comportamiento estándar para recibir datos de recopilación en Backbone es enviar como una matriz JSON.
Por otro lado, el comportamiento estándar de Tornado es no permitir JSON Array debido a la siguiente vulnerabilidad:
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx
Una relacionada es: http://haacked.com/archive/2009/06/25/json-hijacking.aspx
Me parece más natural no tener que envolver mi JSON en un objeto cuando realmente es una lista de objetos.
No pude reproducir estos ataques en los navegadores modernos (es decir, Chrome, Firefox, Safari e IE9 actuales). Al mismo tiempo, no pude confirmar en ningún lado que los navegadores modernos hubieran abordado estos problemas.
Para asegurarme de no confundirme con las posibles habilidades de programación deficientes ni con las habilidades de búsqueda de Google:
¿Estos ataques de secuestro JSON siguen siendo un problema hoy en día en los navegadores modernos?
(Nota: Lo siento por el posible duplicado a: ¿Es posible hacer 'JSON secuestro' en el navegador moderno? Pero ya no parece la respuesta aceptada para responder a la pregunta - pensé que era el momento de pedir de nuevo y obtener algunas explicaciones más claras .)