7. Security Considerations

7. Security Considerations

Diese Spezifikation hat dieselben Sicherheitsüberlegungen wie JSON [RFC4627] und JSON-Pointer [RFC6901].

Einige ältere Webbrowser können dazu gezwungen werden, ein beliebiges JSON-Dokument zu laden, dessen Wurzel ein Array ist, was zu einer Situation führt, in der ein JSON-Patch-Dokument mit sensiblen Informationen Angreifern ausgesetzt werden könnte, selbst wenn der Zugriff authentifiziert ist. Dies ist als Cross-Site Request Forgery (CSRF)-Angriff [CSRF] bekannt.

Solche Browser werden jedoch nicht weit verbreitet verwendet (zum Zeitpunkt des Schreibens wird geschätzt, dass sie in weniger als 1% des Marktes verwendet werden). Herausgebern, die dennoch über diesen Angriff besorgt sind, wird geraten, solche Dokumente nicht mit HTTP GET verfügbar zu machen.