由于浏览器同源策略使得不同源、不同域名、不同端口的Cookie无法读取、DOM和JS对象无法获取、AJAX不能发送,所以在写日常业务时常需要跨域
一、jsonp跨域(只能GET请求)
常见安全问题
1.JSON劫持,由于未校验referer来源,导致攻击者可以构造恶意页面诱导受害者访问接口,劫持敏感信息,从而导致csrf漏洞
2.callback自定义导致xss漏洞,由于未对JSON格式Content-Type做限制导致xss漏洞,如”?callback=foo(‘<img src=@ οnerrοr=alert(/xss/)>’)”
安全方案:
1.严格验证referer;部署一次性Token。
2.严格按照JSON格式输出Content-Type : application/json; charset=utf-8;对callback函数长度做限制,对特殊字符做过滤
二、websocket跨域
websocket支持双向通信,常用于即时通信,也可以用来跨域
常见安全问题:
1.在服务端websocket连接时未进行origin验证,导致跨域劫持漏洞
安全方案:
1.严格验证origin,reference
三、postMessage跨域:postMessage是H5新特性,利用postMessage不能和服务端交换数据,只能在两个窗口 <iframe> 之间交换数据。解决跨窗口跨域的情况
常见安全问题:
1.伪造接收端:由于发送端用法不当如ta