7. Security Considerations

7. Security Considerations

Cette spécification présente les mêmes considérations de sécurité que JSON [RFC4627] et JSON-Pointer [RFC6901].

Quelques anciens navigateurs Web peuvent être contraints de charger un document JSON arbitraire dont la racine est un tableau, conduisant à une situation dans laquelle un document JSON Patch contenant des informations sensibles pourrait être exposé aux attaquants, même si l'accès est authentifié. Ceci est connu sous le nom d'attaque Cross-Site Request Forgery (CSRF) [CSRF].

Cependant, de tels navigateurs ne sont pas largement utilisés (au moment de la rédaction, on estime qu'ils sont utilisés dans moins de 1% du marché). Les éditeurs qui sont néanmoins préoccupés par cette attaque sont invités à éviter de rendre de tels documents disponibles avec HTTP GET.