7. Security Considerations

この仕様は, JSON [RFC4627] および JSON-Pointer [RFC6901] と同じセキュリティに関する考慮事項を持っています。

一部の古い Web ブラウザは, ルートが配列である任意の JSON 文書をロードするように強制される可能性があり, アクセスが認証されている場合でも, 機密情報を含む JSON Patch 文書が攻撃者にさらされる状況につながります。これは Cross-Site Request Forgery (CSRF) 攻撃 [CSRF] として知られています。

ただし, このようなブラウザは広く使用されていません (執筆時点では, 市場の 1% 未満で使用されていると推定されています)。それでもこの攻撃を懸念する発行者は, HTTP GET でこのような文書を利用可能にすることを避けることをお勧めします。