JSONP原理以及安全问题

最新推荐文章于 2025-04-02 23:18:56 发布
最新推荐文章于 2025-04-02 23:18:56 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 网络安全 JSONP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37133717/article/details/105749589
版权
本文详细介绍了JSONP的工作原理,通过动态插入script标签实现跨域请求。同时,探讨了JSONP劫持的安全隐患,这是一种CSRF攻击形式,允许攻击者获取用户敏感信息。最后,提出了防御措施,包括限制来源refer、遵循JSON格式标准输出和过滤callback函数名。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JSONP介绍

JSONP全称是JSON with Padding ,是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 元素标签没有跨域限制

JSONP原理就是动态插入带有跨域url的script标签,然后调用回调函数,把我们需要的json数据作为参数传入,通过一些逻辑把数据显示在页面上。

比如如下代码所示,通过script标签完成http://localhost:8080/test01/dom01?callback=jsontest的调用。
在这里插入图片描述
后端代码:
在这里插入图片描述

访问test.html页面执行script,请求http://localhost:8080/test01/dom01?callback=jsontest,然后将请求的内容作为参数,执行jsontest函数,jsontest函数将请求的内容弹出来出来。结果如下:
在这里插入图片描述
这样我们就通过script标签实现了快于请求,绕过了同源策略。

Ajax的jsonp跨域请求原理和这个是一样的,也是在frame里面通过创建一个临时的script标签来实现跨域请求。感兴趣的同学可以自己验证下

最低0.47元/天 解锁文章
【网络安全JSONP劫持原理及攻击实战
等风来
10-13 1914
JSONPJavaScriptObjectNotationPadding)是一种用于绕过浏览器同源策略限制的技术,使得网页可以从不同域名的服务器请求数据。由于浏览器的同源策略限制,网页通常只能向与其同源的服务器发送请求。然而,标签不受同源策略的限制,可以从任何域加载和执行脚本。JSONP 利用这一特性,通过动态添加标签来实现跨域数据请求。
jsonp相关的安全问题
飞翔的熊blabla
04-21 282
1、jsonp劫持 如果b.com通过jsonp的方式获取json数据,攻击者通过构造恶意的jsonp调用页面a.com.html,a.com.html中通过<script></script>标签,远程调用b.com下的json文件,被攻击者在已登录b.com时,访问a.com.html,攻击者即可获取敏感数据。 <script> f...
JSONP跨域访问漏洞
最新发布
zj2084的博客
04-02 746
当在list-json.html页面中,直接构造以下Payload,则会导致弹窗如果payload是这样的话,也会给我们进行弹窗,说明存在XSS漏洞基于这个XSS漏洞,我们就可以去利用这个漏洞我们可以试着去让它弹出当前页面的Cookie,成功弹出Cookie我们也可以让它做一个登录,成功登录然后我们再通过XSS漏洞将Sesssion ID弹出来,说明它并没有对当前的Cookie设置http-only的属性,让我们的JavaScript是可以读取到的。
jsonp问题
牵佳一诺的博客
07-24 370
jsonp是处理跨域问题的,其原理是html的&lt;script&gt;能够跨域访问js脚本,即后台返回一个字符串比如callback(xxx),并且前台正好定义了callback函数,那么就能被执行,里面的字符串可以解析成对象用。我们利用这个性质让后台返回一个String类型的回调函数让前台接收。这就要求我们在使用@responseBody时返回String,为了防止乱码,我们还得自定义消息转...
解决 jsonP 安全问题
zhengxiuchen86的博客
07-08 246
解决 jsonP 安全问题
JSONP使用以及需要注意的安全问题
netyeaxi的专栏
04-08 2146
JSONP 全称是 JSON with Padding,JSONP可能会引起CSRF(Cross-site request forgery 跨站请求伪造)攻击或XSS (Cross Site Scripting 跨站脚本攻击)漏洞对于支持JSONP的接口,写接口时数据可能会被篡改,读接口时数据可能会被劫持CSRF:这个问题属于CSRF攻击范畴,一个典型的 JSON Hijacking 攻击代码:&...
JSONP原理及简单实现
10-22
JSONP原理的核心在于动态创建标签,并将要请求的跨域URL作为该标签的src属性值。这个URL会包含一个callback参数,这个参数指定了一个将在当前页面执行的函数名。当请求成功返回时,数据会被包裹在这个函数调用的结构...
JSONP原理以及示例.rar
09-16
- **安全性**:由于JSONP完全依赖于服务器返回的JavaScript代码,因此存在被恶意注入的风险,服务器必须确保返回的数据安全可靠。 - **只支持GET请求**:JSONP只能处理GET请求,因为它通过`<script>`标签的`src`属性...
JSONP 原理
01-08
3. **安全性较低**: JSONP由前端控制,后端完全依赖前端传递的回调函数名,这可能导致安全问题,如XSS攻击。 4. **单向通信**: JSONP只能实现服务器向客户端的单向数据传递,无法处理客户端向服务器发送数据的情况...
jsonp原理及使用
10-26
**JSONP的工作原理:** 1. **请求发起**:当需要跨域获取数据时,客户端(通常是网页中的JavaScript)会创建一个新的`<script>`标签,并设置其`src`属性指向提供JSONP服务的服务器URL。URL中通常会包含一个名为`...
jsonp 解决浏览器跨域 方法和原因 为什么不安全
时间在飞飞的博客
05-19 434
jsonp 原理是什么? 就是使用了script的src属性在请求文件的时候吧数据携带过来,就是一个函数的定义和函数的调用,然后设置一个回调函数在请求到以后执行这个函数 获取内容 这个callback参数就是告诉服务器定义的函数的函数名,然后获取到以后执行这个函数 show(){ //获取内容 //执行代码 } let url="http://XXXXXX?cb=show"; let scri...
详解JSON和JSONP劫持以及解决方法
10-17
主要介绍了详解JSON和JSONP劫持以及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Jsonp跨域的坑,关于jsonp你真的了解吗
weixin_46051988的博客
11-28 945
Jsonp 跨域的坑,深入了解jsonp
JSON与JSONP劫持原理
总有人间一两风,填我十万八千梦
08-01 5305
目录 JSON劫持 JSONP劫持 JSONP劫持漏洞实例 JSONP接口漏洞挖掘 漏洞危害 漏洞防御 JSON劫持 json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送http请求,但是json-hijack的目的是获取敏感数据。 一些web应用会把一些敏感数据以json的形式返回到前端,如果仅仅通过cookie来判断请求是否合法,那么就可以利用类似csrf的手段,向目标服务器发送请求,以获得敏感数据。 比如下面的链接在已登录的情况下
JSONP劫持
jiet07的博客
08-30 2144
文章目录概述相关劫持JSONP漏洞的利用过程JSONP漏洞的危害other参考资料 JSONP劫持 概述 引入:因为浏览器为了防止个人信息暴露(cookie等),对浏览器设置了同源策略,这个时候,从不同的域(网站)访问数据需要一个特殊的技术(跨域请求),JSONP应用而生。 JSONP( JSON with Padding)是json的一种“使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 这样就很容易理解,JSONP劫持,就是攻击者attacker通过构造设计一个网站evil(网站中包
JSONP 劫持
weixin_38885346的博客
05-02 479
一、什么是JSONP JSONP(Json in Paddig) 第一、在网络中为了传输数据与读取数据有统一的格式,所以使用json结构来重构数据,简单点就是键值对; 第二、由于同源策略,所以不同域的网站无法通过AJAX直接读取数据,比如一个银行,有两个不同域的网站,一个网站可以以json格式显示用户信息,银行希望另一个网站能够读取到这些信息; 第三、虽然不能跨域请求,但是能跨域脚本包含 基于此,JSONP诞生了,其实JSONP的实现原理就是JSONP劫持的实现原理,用个靶场举例: 二、实现原理 目标网
jsonp 的优缺点
m0_73481765的博客
11-27 759
标签来获取跨域数据的策略。它本质上不是一个新的技术,只是JavaScript的普通函数调用的一种形式,即利用了网页脚本的同源策略。属性设置为服务器的URL,同时将回调函数名作为参数传递给URL。JSONP,全名是JSON with Padding,是一种通过。的函数,用于处理从服务器获取的数据。中,这样就可以触发与服务器的跨域请求。这样,当浏览器获取到这个数据后,会调用。这个例子中,我们创建了一个名为。函数,将数据作为参数传入。
浅谈JSONP劫持漏洞
我的博客,不一样的自我表达
07-23 346
那么攻击者可以构造url:http://127.0.0.1/aphp.test.html或http://127.0.0.1/attack.htm?例如http://aphp.test/jsonp/test_jsonp.php?一般开发中,前端可以很方便的调用,一般输出Callback都是可定制的,如果过滤不严格,或者Content-Type设置不合适,就会导致xss。由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名、协议、端口)的资源,对请求脚本资源没有限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值