7. Security Considerations

本规范具有与 JSON [RFC4627] 和 JSON-Pointer [RFC6901] 相同的安全注意事项。

一些较旧的 Web 浏览器可能被迫加载根为数组的任意 JSON 文档, 导致包含敏感信息的 JSON Patch 文档可能被暴露给攻击者, 即使访问已经过身份验证。这被称为跨站请求伪造 (Cross-Site Request Forgery, CSRF) 攻击 [CSRF]。

然而, 此类浏览器并未广泛使用 (在撰写本文时, 估计它们的市场占有率不到 1%)。尽管如此, 对此攻击感到担忧的发布者建议避免通过 HTTP GET 使此类文档可用。