Según el Estándar de verificación de seguridad de aplicaciones OWASP :
V11.3 Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido especificando un conjunto de caracteres seguro (por ejemplo, UTF-8).
Según el RFC para la aplicación / json Media Type :
El texto JSON DEBE estar codificado en Unicode. La codificación predeterminada es UTF-8.
Dado que los dos primeros caracteres de un texto JSON siempre serán ASCII caracteres [RFC0020], es posible determinar si un octeto la secuencia es UTF-8, UTF-16 (BE o LE), o UTF-32 (BE o LE) mirando en el patrón de nulos en los primeros cuatro octetos.
Si su codificación es de hecho UTF-8, esto implica que no hay ningún beneficio de seguridad al establecer el encabezado Content-Type
en application/json; charset=utf-8
en lugar de solo application/json
.
¿Es razonable hacer una excepción a la regla OWASP para application/json
?