JSONP原理以及安全问题

最新推荐文章于 2024-06-10 23:15:24 发布
最新推荐文章于 2024-06-10 23:15:24 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 网络安全 JSONP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37133717/article/details/105749589
版权
JSONP介绍

JSONP全称是JSON with Padding ,是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 元素标签没有跨域限制

JSONP原理就是动态插入带有跨域url的script标签,然后调用回调函数,把我们需要的json数据作为参数传入,通过一些逻辑把数据显示在页面上。

比如如下代码所示,通过script标签完成http://localhost:8080/test01/dom01?callback=jsontest的调用。
在这里插入图片描述
后端代码:
在这里插入图片描述

访问test.html页面执行script,请求http://localhost:8080/test01/dom01?callback=jsontest,然后将请求的内容作为参数,执行jsontest函数,jsontest函数将请求的内容弹出来出来。结果如下:
在这里插入图片描述
这样我们就通过script标签实现了快于请求,绕过了同源策略。

Ajax的jsonp跨域请求原理和这个是一样的,也是在frame里面通过创建一个临时的script标签来实现跨域请求。感兴趣的同学可以自己验证下

最低0.47元/天 解锁文章
刘三羊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSONP 劫持
weixin_38885346的博客
05-02 366
一、什么是JSONP JSONP(Json in Paddig) 第一、在网络中为了传输数据与读取数据有统一的格式,所以使用json结构来重构数据,简单点就是键值对; 第二、由于同源策略,所以不同域的网站无法通过AJAX直接读取数据,比如一个银行,有两个不同域的网站,一个网站可以以json格式显示用户信息,银行希望另一个网站能够读取到这些信息; 第三、虽然不能跨域请求,但是能跨域脚本包含 基于此,JSONP诞生了,其实JSONP的实现原理就是JSONP劫持的实现原理,用个靶场举例: 二、实现原理 目标网
JSONP 原理
01-08
3. **安全性较低**: JSONP由前端控制,后端完全依赖前端传递的回调函数名,这可能导致安全问题,如XSS攻击。 4. **单向通信**: JSONP只能实现服务器向客户端的单向数据传递,无法处理客户端向服务器发送数据的情况...
jsonp相关的安全问题
飞翔的熊blabla
04-21 243
1、jsonp劫持 如果b.com通过jsonp的方式获取json数据,攻击者通过构造恶意的jsonp调用页面a.com.html,a.com.html中通过<script></script>标签,远程调用b.com下的json文件,被攻击者在已登录b.com时,访问a.com.html,攻击者即可获取敏感数据。 <script> f...
超全的前端绕过同源策略方法的方法、jsonp的使用及与json的区别
最新发布
m0_50103979的博客
06-10 724
最近博主在开发翰络云工具的ip查询工具(),并且发了一篇文章来总结和展示所有用到的ip查询接口(但是开发过程中发现一些ip接口的同源策略不允许跨域(哭死),为了能够使用这些接口,博主不得不再一次仔细研究前端的同源策略,并总结了一些绕过该策略的方法,同时附上一些容易混淆的点的辨析。JSONP(JSON with Padding)是一种跨域请求数据的方法。它利用了标签不受同源策略限制的特点,通过动态创建
jsonp问题
牵佳一诺的博客
07-24 305
jsonp是处理跨域问题的,其原理是html的&lt;script&gt;能够跨域访问js脚本,即后台返回一个字符串比如callback(xxx),并且前台正好定义了callback函数,那么就能被执行,里面的字符串可以解析成对象用。我们利用这个性质让后台返回一个String类型的回调函数让前台接收。这就要求我们在使用@responseBody时返回String,为了防止乱码,我们还得自定义消息转...
解决 jsonP 安全问题
zhengxiuchen86的博客
07-08 209
解决 jsonP 安全问题
JSONP使用以及需要注意的安全问题
netyeaxi的专栏
04-08 2061
JSONP 全称是 JSON with Padding,JSONP可能会引起CSRF(Cross-site request forgery 跨站请求伪造)攻击或XSS (Cross Site Scripting 跨站脚本攻击)漏洞对于支持JSONP的接口,写接口时数据可能会被篡改,读接口时数据可能会被劫持CSRF:这个问题属于CSRF攻击范畴,一个典型的 JSON Hijacking 攻击代码:&...
JSONP原理以及示例.rar
09-16
- **安全性**:由于JSONP完全依赖于服务器返回的JavaScript代码,因此存在被恶意注入的风险,服务器必须确保返回的数据安全可靠。 - **只支持GET请求**:JSONP只能处理GET请求,因为它通过`<script>`标签的`src`属性...
jsonp原理及使用
10-26
**JSONP的工作原理:** 1. **请求发起**:当需要跨域获取数据时,客户端(通常是网页中的JavaScript)会创建一个新的`<script>`标签,并设置其`src`属性指向提供JSONP服务的服务器URL。URL中通常会包含一个名为`...
基于JSONP原理解析(推荐)
10-18
### JSONP的基本原理 1. **不受跨域限制的HTML标签**: - HTML中的`<script>`、`<img>`、`<link>`等标签允许加载不同源的资源,因此可以用来绕过浏览器的同源策略。 2. **动态创建`<script>`标签**: - 在...
JSONP安全攻防技术
02-26
JSONP全称是JSONwithPadding,是基于JSON格式的为...上面例子用PHP实现如下:然后在a.com使用进行远程调用,在jQuery中可以直接这样调用:然而,安全问题一直伴随着业务发展,JSONP同样带来各种安全问题。本文就将梳理J
详解JSON和JSONP劫持以及解决方法
10-17
主要介绍了详解JSON和JSONP劫持以及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jsonp 解决浏览器跨域 方法和原因 为什么不安全
时间在飞飞的博客
05-19 371
jsonp 原理是什么? 就是使用了script的src属性在请求文件的时候吧数据携带过来,就是一个函数的定义和函数的调用,然后设置一个回调函数在请求到以后执行这个函数 获取内容 这个callback参数就是告诉服务器定义的函数的函数名,然后获取到以后执行这个函数 show(){ //获取内容 //执行代码 } let url="http://XXXXXX?cb=show"; let scri...
Jsonp跨域的坑,关于jsonp你真的了解吗
weixin_46051988的博客
11-28 841
Jsonp 跨域的坑,深入了解jsonp
JSON与JSONP劫持原理
good good study
08-01 4989
目录 JSON劫持 JSONP劫持 JSONP劫持漏洞实例 JSONP接口漏洞挖掘 漏洞危害 漏洞防御 JSON劫持 json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送http请求,但是json-hijack的目的是获取敏感数据。 一些web应用会把一些敏感数据以json的形式返回到前端,如果仅仅通过cookie来判断请求是否合法,那么就可以利用类似csrf的手段,向目标服务器发送请求,以获得敏感数据。 比如下面的链接在已登录的情况下
JSONP劫持
jiet07的博客
08-30 1897
文章目录概述相关劫持JSONP漏洞的利用过程JSONP漏洞的危害other参考资料 JSONP劫持 概述 引入:因为浏览器为了防止个人信息暴露(cookie等),对浏览器设置了同源策略,这个时候,从不同的域(网站)访问数据需要一个特殊的技术(跨域请求),JSONP应用而生。 JSONP( JSON with Padding)是json的一种“使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 这样就很容易理解,JSONP劫持,就是攻击者attacker通过构造设计一个网站evil(网站中包
浅谈JSONP劫持漏洞
我的博客,不一样的自我表达
07-23 252
那么攻击者可以构造url:http://127.0.0.1/aphp.test.html或http://127.0.0.1/attack.htm?例如http://aphp.test/jsonp/test_jsonp.php?一般开发中,前端可以很方便的调用,一般输出Callback都是可定制的,如果过滤不严格,或者Content-Type设置不合适,就会导致xss。由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名、协议、端口)的资源,对请求脚本资源没有限制。
Jsonp常见安全漏洞分析
lifushan123的专栏
05-12 2935
JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。这个解释来自于互联网上面的答案。jsonp只是 一种使用json模式,之所以能够很广泛使用。主要用它来解决跨域访问问题。可以方便跨域名传输数据。一些是一个jsonp的例子。但是,正确的使用jsonp是至关重要的,用得不好。将带来重要资料把超范围访问,还会带来各自xss漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值