JSONP使用以及需要注意的安全问题

最新推荐文章于 2024-06-05 09:02:44 发布
最新推荐文章于 2024-06-05 09:02:44 发布
阅读量2k 收藏 1
点赞数
文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netyeaxi/article/details/79855814
版权
JSONP 全称是 JSON with Padding,JSONP可能会引起CSRF(Cross-site request forgery 跨站请求伪造)攻击或XSS (Cross Site Scripting 跨站脚本攻击)漏洞
对于支持JSONP的接口,写接口时数据可能会被篡改,读接口时数据可能会被劫持

CSRF:
这个问题属于CSRF攻击范畴,一个典型的 JSON Hijacking 攻击代码: 
<script>
function wooyun(v){
    alert(v.username);
}
</script>
<script src="http://js.login.360.cn/?o=sso&m=info&func=wooyun"></script>

当被攻击者在登陆 360 网站的情况下访问了该网页时,那么用户的隐私数据(如用户名,邮箱等)可能被攻击者劫持。



XSS:
输出 JSON 时,没有严格定义好 Content-Type(Content-Type: application/json)直接导致了一个典型的 XSS 漏洞 
http://127.0.0.1/getUsers.php?callback=<script>alert(/xss/)</script>
主要解决方案:
a.Referer 严谨过滤
b.严格定义输出的 Content-Type: application/json,浏览器不解析恶意插入的 XSS 代码(直接访问提示文件下载)
c.部署一次性 Token
d.限制callback函数名长度,严格过滤callback函数名
e.过滤JSON里数据的输出


参考文档:
JSONP的详细使用说明:
https://www.cnblogs.com/chiangchou/p/jsonp.html
JSONP的安全使用说明:
https://www.cnblogs.com/52php/p/5677775.html
netyeaxi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSONP原理以及安全问题
我不是大牛
04-25 1619
JSONP介绍 JSONP全称是JSON with Padding ,是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 元素标签没有跨域限制 JSONP原理就是动态插入带有跨域url的script标签,然后调用回调函数,把我们需要的json数据作为参数传入,通过一些逻辑把数据显示在页面上。 比如如下代码所示,通过script标签完成http://loc...
java中的JSONP使用实例详解
10-19
需要注意的是,JSONP有一定的安全风险,因为它允许任意的JavaScript代码执行,可能导致XSS攻击。此外,JSONP只能支持GET请求,因为`<script>`标签不支持POST等其他HTTP方法。 总的来说,JSONP是一种有效的跨域数据...
jQuery中jsonp的跨域注意
芽滴滴的技术文摘
07-12 545
1)测试环境: 本地wamp环境运行自己的代码,但是需要调用呼叫中心Linux服务器上的192.168.1.69中的php脚本 2)下面是成功的例子:  http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> http://www.w3.org/1999/xhtml" >  jsonp测试         f
Python Strip() 去除方法
qq_41545628的博客
11-12 1177
原文本 使用lstrip(‘try{feedCardJsonpCallback(’) 去除前缀,会将后面的{也一同去掉,得到 原因是strip的方法是会把’try{feedCardJsonpCallback2(‘里面出现的字符都去掉,直到遇到没有出现的字符,’{'包含在其中所以会被去掉。 这时可以使用replace代替 ...
JSONP跨域解决方案有哪些局限性
最新发布
DKPT的博客
06-05 191
3、无法获取HTTP状态码和头部信息:使用JSONP发送的请求,浏览器无法像正常的XMLHttpRequest请求那样获取HTTP状态码和头部信息。4、无法处理复杂的错误处理:JSONP没有提供像XMLHttpRequest那样的错误处理机制。标签的src属性只能发送GET请求,不能发送POST或其他类型的HTTP请求。6、对老式浏览器的依赖:虽然JSONP可以在大多数现代浏览器中工作,但它依赖于浏览器对。在一些老式或特定的浏览器中,JSONP可能无法正常工作。标签来发送请求的,而。
jsonp跨域的安全问题
Daisy花园
04-24 8913
JSONP没有关于错误调用的处理,一旦回调函数失败,浏览器就会以静默失败的方式处理。 只支持GET请求 安全问题 1、Callback可自定义导致的安全问题Content-type与XSS漏洞 再输出 JSON 时,没有严格定义好 Content-Type( Content-Type: application/json )然后加上 callback 这个输出点没有进行过滤直接导致了一个典型的 X
如何处理JSON中的数据安全和加密传输?底层原理是什么?
长风破浪会有时的博客
05-28 1545
加密过程中,需要在发送方对 JSON 数据进行加密处理,接收方则需要对加密后的数据进行解密处理,以得到原始的 JSON 数据。数字签名的过程中,发送方使用私钥对 JSON 数据进行签名,接收方则使用发送方的公钥对签名进行验证,以确认数据的来源和完整性。在实际应用中,JSON数据的安全性和传输安全性是非常重要的,特别是在涉及用户隐私数据的应用中,必须采取一定的安全措施来保护数据的安全性。在实际应用中,通常会结合使用多种方法来保证 JSON 数据的安全性和传输安全性,以提高数据的安全性和可靠性。
Json安全
weixin_30840253的博客
02-01 170
1.不要使用顶级JSON数组,避免被<script>标签引用。 2.使用POST+密钥获取JSON,尽量不要用GET方式。 3.不要使用eval()将对象放入内存,eval()会执行所传入的字符串,使用JSON.parse()就可以避免这个问题。 4.将JSON值中的html字符转码,防范在JSON中使用html带来的安全问题。 转载于:https://www.cnblogs.c...
简单介绍jsonp 使用小结
10-22
需要注意的是,JSONP存在一些局限性和安全问题。因为它完全依赖于服务器的正确响应,如果服务器返回的不是预期的JavaScript代码,可能会导致错误甚至注入攻击。此外,JSONP只支持GET请求,无法实现POST等其他HTTP...
使用AngularJS 跨站请求如何解决jsonp请求问题
10-20
在Web开发中,由于同源...理解JSONP的工作原理以及如何在AngularJS中正确使用它,对于进行前端开发特别是需要跨域通信的场景来说至关重要。通过以上内容,你应该已经掌握了在AngularJS中解决跨站请求问题JSONP方法。
使用jsonp实现跨域获取数据实例讲解
11-27
5. 注意事项: - JSONP只支持GET请求,因为它依赖于`<script>`标签的特性,而`<script>`标签不支持POST等其他HTTP方法。 - 由于服务器必须返回预设格式的JavaScript代码,因此服务器端需要JSONP请求进行特殊处理...
Springboot 实现跨域访问无需使用jsonp的实现代码
10-17
4. **注意事项** - `Access-Control-Allow-Origin`:指定允许请求的源,`*`表示允许所有。 - `Access-Control-Allow-Methods`:指定允许的HTTP方法。 - `Access-Control-Max-Age`:预检请求(OPTIONS)缓存时间,...
jquery 跨域_涨姿势丨JSONP和CORS跨域资源共享
weixin_39889329的博客
12-01 233
进入正文之前,我们先来解决个小问题,什么是跨域?跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!跨域常见的两种方式,分别是JSONP和CORS。今天i春秋以JSONP和CORS这两个知识点,分享一篇比较基础的跨域漏洞知识点,希望能够抛砖引玉。JSONP跨域JSONP(JSON with padding),是一种利用HTML中那么为什么需要用到J...
Jquery跨域获得Json
weixin_33727510的博客
06-24 358
这两天用 Jquery 跨域取数据的时候,经常碰到 invalid label 这个错误,十分的郁闷,老是取不到服务器端发送回来的 json 值, 一般跨域用到的两个方法为:$.ajax 和$.getJSON   最后,仔细安静下来,细读 json 官方文档后发现这么一段:   JSON数据是一种能很方便通过JavaScript解析的结构化数据。如果获取的数据文件存放在远程服务器上(域名...
js位置、web存储、页面加载事件、给类添加方法、promise封装ajax、重绘和重排、XMLHTTPRequest和JSONP
chanzhiliao的博客
09-19 263
一、js放在head和body标签中的区别 head 部分中的脚本: 需调用才执行的脚本或事件触发执行的脚本放在HTML的head部分中。当你把脚本放在head部分中时,可以保证脚本在任何调用之前被加载。 body 部分中的脚本: 当页面被加载时执行的脚本放在HTML的body部分。放在body部分的脚本通常被用来生成页面的内容。 ...
一个关于jsonp请求数据的问题,如果api没有说明callback如果处理
maYunLaoXi的博客
07-17 1109
(刚学编程(前端)没多久,也不知道是不是在种贴子提问的) 跨域请求数据callback问题: 我试着在网上找了一些别人的api,想用来练习一下。 有一些接口有写出可以写callback的,比如下面的“电商接口”,但是有一些没有写出,如”物流接口“ 没有写出callback的如果在后面加一个callback的话也无法使用。 到这我就很不明白了,不是是还有什么另外的方法可以使用这些api呢? 如果没...
ajax JSONP请求 处理回调函数的注意jsonpCallback是区分大小写
热门推荐
____
09-08 4万+
使用ajax进行 JSONP跨域请求,因为被请求的对方的回调函数是无法修改。对方返回的JS都固定了回调函数名称_Callback。而这边页面中会出现多个JSONP请求,他们的回调函数名称都是_Callback,想到设置AJAX 的JSONP参数。但是发现根本不起作用。最后偶然发现 jsonpcallback是区分大小写的。必须是  jsonpCallback 而不是jsonpcallback
jsonpcallback使用
丽丽大神ing的博客
01-31 8409
详情参考:https://blog.csdn.net/linli1991/article/details/73064806/ JSON数据是一种能很方便通过JavaScript解析的结构化数据。如果获取的数据文件存放在远程服务器上(域名不同,也就是跨域获取数据),则需要使用jsonp类型。使用这种类型的话,会创建一个查询字符串参数 callback=? ,这个参数会加在请求的URL后面。服务器端...
java jsonp使用
07-27
Java中使用JSONP主要是通过使用跨域请求来获取JSON数据...需要注意的是,JSONP存在一些安全问题,因为它允许在页面中执行任意的JavaScript代码。因此,在使用JSONP需要谨慎处理返回的数据,以防止潜在的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值