トップレベルJSON配列」とは何か、なぜセキュリティリスクとなるのか？

質問

以下のビデオで、タイムマーカー 21:40 において、Microsoft PDC のプレゼンターは、すべての JSON をトップレベルの配列にならないようにラップすることが重要であると述べています。

https://channel9.msdn.com/Events/PDC/PDC09/FT12

ラップされていないトップレベルアレイのリスクは？

脆弱性があるかどうか、どのように確認すればよいのでしょうか？ 私はサードパーティから多くのコンポーネントを購入し、私のコードを開発する外部ベンダーを持っています。

どのように解決すればよいですか？

これは、数年前、Jeremiah Grossman が、非常に優れた に影響を及ぼす興味深い脆弱性を発見したからです。 . 一部の人々は、この脆弱性に対処するために パース不能な残骸 を使うことで対処している人もいます (このページの bobince 氏の技術的な説明は素晴らしいです)。

マイクロソフトがこの話をするのは、（まだ）ブラウザにパッチを当てていないからです。( 編集してください。 最近のEdgeやIE10/11のバージョンではこの問題に対処しています)。 Mozillaはこれをjsonの仕様の脆弱性とみなし、パッチを適用して Firefox 3 . 記録として、私は Mozilla に完全に同意します。そして残念なことに、各 Web アプリ開発者はこの非常に不明瞭な脆弱性から自分自身を守らなければならないでしょう。