7. Security Considerations

7. Security Considerations

Questa specifica ha le stesse considerazioni sulla sicurezza di JSON [RFC4627] e JSON-Pointer [RFC6901].

Alcuni browser Web più vecchi possono essere costretti a caricare un documento JSON arbitrario la cui radice è un array, portando a una situazione in cui un documento JSON Patch contenente informazioni sensibili potrebbe essere esposto agli attaccanti, anche se l'accesso è autenticato. Questo è noto come attacco Cross-Site Request Forgery (CSRF) [CSRF].

Tuttavia, tali browser non sono ampiamente utilizzati (al momento della scrittura, si stima che siano utilizzati in meno dell'1% del mercato). Agli editori che sono comunque preoccupati per questo attacco si consiglia di evitare di rendere disponibili tali documenti con HTTP GET.