简单了解下JSONP

最新推荐文章于 2024-05-10 08:30:17 发布
最新推荐文章于 2024-05-10 08:30:17 发布
阅读量225 收藏 1
点赞数
分类专栏: Web安全 文章标签: jsonp csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samlirongsheng/article/details/104818457
版权

先来了解下同源策略;

同源策略即:同一协议,同一域名,同一端口号。当其中一个不满足时,我们的请求即会发生跨域问题。

举例:

http://a.com:80 https://a.com:80 (域名、端口相同但协议不同)

https://a.com:80 https://a.com:8080 (端口不同)

https://a.com:80 https://b.com:80 (域名不同)

三要素:域名、端口、协议

JSONP原理

ajax请求受同源策略影响,不允许进行跨域请求,而scriptimgifram标签等中src属性的链接可以访问跨域的js脚本,利用这个特性,服务端不在返回json数据,而是返回调用某个函数的js代码,在src中调用,以此实现跨域。

存在问题

1.JSONP劫持(也叫JSON劫持?还叫JSON Hijacking)

只要返回敏感信息的json,并且没有验证Referer(或者没有有效的验证手段)均存在此问题;

利用流程:

发现-构造poc-发送给其他用户访问-获取其他用户敏感信息

2.callback可定义导致的安全问题

XSS问题;

 

安全防范

1.JSONP劫持

验证 JSON 文件调用的来源( Referer );

随机token;

 

对应绕过:

  1. Referer过滤规则(正则)不严谨;
  2. 空Referer;忽视了空Referer的情况,用 <iframe> 调用 javscript 伪协议来实现空 Referer 调用 JSON 文件;
  3. token可被爆破。

 

2.callback可定义导致的安全问题

严格定义 Content-Type: application / json;

过滤 callback 以及 JSON 数据输出;

对应绕过:

              绕过不写了,常规XSS绕过。

 

JSONP与CORS

前面讲到了同源策略(SOP),而解决跨域处理问题的办法:

1、JSONP;2、CORS;3、子域代理(已不用)。

 

CORS:跨域资源共享(Cross-origin resource sharing)是H5提供的一种机制,WEB应用程序可 以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。也算是为了解决JSONP的问题。

  • Access-Control-Allow-Origin:指定哪些域可以访问域资源。例如,如果requester.com想要访问provider.com的资源,那么开发人员可以使用此标头安全地授予requester.com对provider.com资源的访问权限。
  • Access-Control-Allow-Credentials:指定浏览器是否将使用请求发送cookie。仅当allow-credentials标头设置为true时,才会发送Cookie。
  • Access-Control-Allow-Methods:指定可以使用哪些HTTP请求方法(GET,PUT,DELETE等)来访问资源。此标头允许开发人员通过在requester.com请求访问provider.com的资源时,指定哪些方法有效来进一步增强安全性。

JSONP的问题与CSRF? 

sam.li
关注
专栏目录
本地实现的最简单jsonp例子.zip
10-12
1. **理解JSONP的原理**:了解为何`<script>`标签能跨域以及如何利用这个特性。 2. **回调函数的使用**:理解客户端如何定义回调函数,以及服务器如何根据这个函数名构建返回的JSONP响应。 3. **数据解析**:学习...
Ajax的jsonp方式跨域获取数据的简单实例
10-22
Ajax的jsonp方式跨域获取数据的简单实例中,涉及到了Web开发中常见的跨域问题以及解决这一问题的方法之一——JSONP(JSON with Padding)。为了深入理解,让我们从以下几个方面探讨这些知识点: 1. 跨域问题 在Web...
【web】HTTP头信息解读
m0_45406092的博客
07-16 4013
文章目录概述消息头1、Genaral headers2、Request headers3、Response Headers4、Entity Headers 概述 HTTP的头域包括通用头、请求头、响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部分组成。 通用头部:指的是可以应用于请求和响应中,但是不能应用于消息内容自身的 HTTP 首部 。 取决于应用的上下文环境,通用首部可以是响应头部或者请求头部。但是不可以是实体头部。 最常见的通用首部包括:Date、Cache-Control或
jsonp
底层码农
11-27 6132
jsonp
带你实现一个 JSONP 实例
weixin_33742618的博客
09-13 570
JSONP 被用于跨域获取数据。在讲解它之前,先讲讲它与 JSON 之间的区别 什么是JSON? JSON 是一种基于文本的数据交换方式,或者叫做数据描述格式。 其优点是: 1、基于纯文本,跨平台传递极其简单; 2、Javascript 原生支持,后台语言几乎全部支持; 3、轻量级数据格式,占用字符数量极少,特别适合互联网传递; 4、可读...
JSONP基本概念
winnerX的专栏
06-20 1165
AJAX由于JS跨域访问的限制,不能直接请求其他服务器的数据。而Script标签能够访问src指定url,而没有上述限制,所以可以利用这个方法获得其他服务器的数据. 这种利用方式被称为JSONP 为什么命名为JSONP呢。因为首先一般请求的数据为JSON格式,其次,因为通过script标签获得的实际上是js脚本,如果脚本中仅仅包含json数据的话,浏览器就仅仅相当于解析了一下json数据。所以
显示的是预配标头
热门推荐
lgldl的博客
03-01 1万+
如图,可能是浏览器广告拦截插件(如adblock),把数据拦截了(好蠢),关闭后(或者将域名加入白名单)即可请求成功。
2021-10-22
qq_27785797的博客
10-22 8465
$.ajax() 请求消息 (注意:尚未完成请求)无任何返回 显示的是预配标头 了解详情 我的问题出现的是用下面的监听界面 回来了,就刷新一下界面 window.addEventListener(‘pageshow’, ()) 解决方法 在 上面的回掉 (在ajax 前添加)中添加一个 0.5秒的 定时器 去刷新接口 就可以了 ...
jsonp跨域请求
03-13
JSONP(JSON with Padding)是一种常见的解决JavaScript跨域问题的技术。由于浏览器的同源策略限制,JavaScript通常不能向不同源的服务器...了解和掌握JSONP有助于理解跨域请求的原理,为解决实际问题提供更多的选择。
java web支持jsonp的实现代码
10-17
在Spring MVC中,要处理JSONP请求非常简单。我们只需要在控制器(Controller)方法上使用`@ResponseBody`注解,并返回字符串。然后,在Spring的配置文件中,需要配置`MappingJackson2JsonView`,使其支持JSONP。 ...
accept:HTTP Accept- *标头解析
05-23
@ hapi /接受 HTTP Accept- *标头解析。 accept是hapi生态系统的一部分,旨在与及其其他组件无缝(但可以或与其他框架配合使用)。 如果您使用其他Web框架并且发现此模块有用,请查看 –它们可以更好地协同工作。 访问开发人员门户以获取教程,文档和支持。 有用的资源 (内部版本,依赖项,节点版本,许可证,EOL)
axios 作用 axios主要是用于向后台发起请求的 常用的请求有哪些?
01-01
axios的介绍
Django 跨域 django-cors-headers
Léon
09-10 932
Django 跨域 django-cors-headers django-cors-headers 是一个 Django 应用程序,用于处理跨域资源共享 (CORS) 所需的服务器标头。 安装 $ python -m pip install django-cors-headers 设置 在Django项目的setting.py文件,其添加到应用程序中 INSTALLED_APPS = [ ... , "corsheaders" , ... , ] 添加到中间件中,注
本地调试线上环境遇到 https 协议过期
Cappuccino_Luo的博客
01-21 752
本地调试线上环境遇到 https 协议过期
ajax请求接口第一次失败无响应以后都成功问题,无响应码
肖帅的博客
03-12 1691
ajax请求接口第一次失败无响应以后都成功问题 案例说明: 1,在谷歌浏览器上退出登录成功后 第一次调用接口会无响应,第二次调用正常。(mac电脑上会刷新列表) 2,关于这个问题,找了好久没找到根本原因,使用postman调用接口正常 本案例的解决方案:前端换标签,又原来的button标签换成span标签 button是请求该接口的路径方法 <!-- <button class="sp-st" @click="submitInvite('dialogForm')">发送</butt
如何解决前后端分离开发中,前端携带token的跨域问题?
最新发布
m0_63464979的博客
05-10 1087
前面自己在做项目的时候遇到了一个问题。 以前做项目的时候,前端也用的VSCODE,后端用的也是IDEA,因为没有用token,所以当时后端加了@CrossOrigin注解之后就再也没有没有出现跨域问题。前几天自己做项目的时候发现,尽管后端配置了跨域,但是前端如果携带token访问的话,还是会出现跨域不被运行的情况。
Ajax与jsonp深度解析与实战应用
首先,让我们来了解一下什么是Ajax。 Ajax,全称为Asynchronous JavaScript and XML(异步JavaScript和XML),是一种通过JavaScript创建无需重新加载整个页面就能与服务器交换数据并更新部分网页的技术。它利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值