本文详细解析了JSONP Hijacking攻击,包括跨域请求的需求、JSONP的工作原理及其带来的安全问题。通过实例展示了JSONP如何实现跨域,并指出在处理敏感数据时可能存在的风险。为防止JSONP Hijacking,文章提出了检查Referer和使用一次性Token令牌等防御措施。
JSONP Hijackin的中文意思是JSON劫持,而能产生JSON数据劫持的原因在于前端被跨站攻击了。跨站=跨域,跨域从字面上理解的话,就是指超出了范围、领域。继续追问一下,那超出了什么范围?原来指的范围有多大?理解跨站攻击的基础在于理解这个域有多大。为了更准确的理解JSON Hijackin攻击,建议读者可以先了解一下如下几个背景知识:
- 域概念 (下文会介绍)
- JSON (搜索引擎查一下)
- 接口回调 (建议看我之前的文章:https://www.cnblogs.com/mysticbinary/p/11869181.html)
域概念解释
在计算机领域里很多地方都会用到这个域,而不同地方所包含的含义却是不相同的,比如说写代码定义的变量有作用域,在局域网建设中有网络域,Internet有一项核心服务是域名解析系统(DNS)。本文所讨论的域就是指DNS的域名。
DNS的工作原理:
在全球各地有众多服务器(分布式),在这些服务器里面都同步的保存着域名和IP的一一映射,这样人们就可以不用记住枯燥的IP地址,只记住有意思的单词域名就行了。
域介绍:
域通过一个点.来来分开一个域。域名不区分大小写,有唯一性,跟身份证号一样,是独一无二点。
域分类:
域名又分顶级域
最低0.47元/天 解锁文章
扫一扫
8953
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
