In base allo standard di verifica della sicurezza delle applicazioni OWASP :
V11.3 Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8).
Secondo RFC per l'applicazione / json Media Type :
JSON text SHALL be encoded in Unicode. The default encoding is UTF-8.
Since the first two characters of a JSON text will always be ASCII characters [RFC0020], it is possible to determine whether an octet stream is UTF-8, UTF-16 (BE or LE), or UTF-32 (BE or LE) by looking at the pattern of nulls in the first four octets.
Se la codifica è in realtà UTF-8, ciò implica che non vi è alcun vantaggio per la sicurezza di impostare l'intestazione Content-Type
su application/json; charset=utf-8
anziché solo su application/json
.
È ragionevole fare un'eccezione alla regola OWASP per application/json
?