随便写点东西。

昨天写的那篇blog ， server limit dos

很多站都存在这个问题。

目前看来防御方案最终还是需要在apache的层面去解决，比较好的方案是增加一个mod。

其他的方案基本上都不是"在正确的地方做正确的事情" .


此外憋了好久的一个老问题是：一些服务端的 json encode 函数存在bug，没有严格的处理所有字符。 比较典型的就是没有编码 < >

比如 php 里的 json_encode() 函数， 在默认情况下，就没有转义 < > ，虽然有参数来控制可以编码他们，但该参数不是必须的。

这样就导致，如果没有设置 content-type 的情况下，直接请求json 的callback 页面，会出现XSS。

而 google reader 做的就比较好，对于非字母、数字的字符，全部使用unicode给编码了。即便 content-type 配置错误，或者没有配置，也不会出现什么问题。

所以，总结json 的安全需求：
1、 安全的 json encode 函数
2、 配置好 content-type (配置为： text/javascript)