一文了解JSONP和CORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域

于 2024-01-29 09:49:56 发布
阅读量137 收藏
点赞数 7
分类专栏: Hacker技术提升基地 文章标签: JSONP CORS 同源策略 jsonp劫持 referer绕过 跨域资源共享 跨域漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014374009/article/details/135905205
版权

一文了解JSONP和CORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域。

在这里插入图片描述

#############################

免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。

##############################

在这里插入图片描述

同源策略
在说jsonp和cors之前,先说说同源策略

同源策略是浏览器的一个重要安全策略,如果两个 URL的协议、域名、端口都相同,则认为是同源,如MDN上的描述

在这里插入图片描述

JSONP
jsonp是实现跨域的一种方法,它利用了script、iframe、img等标签的src属性不受同源策略约束的特性来跨域获取数据

在这里插入图片描述

jsonp包含两部分,其中网站A需要构造一个回调函数处理数据,并将回调函数名传递给网站B

<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
代码讲故事
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
CORSJSONP
m0_72552013的博客
09-15 202
关于,使用CORSJSONP的一点心得
js修改 referer_GET请求Referer限制过总结
weixin_33898154的博客
01-20 3857
前言在做测试的时候会遇见这样几个漏洞场景:JSONP劫持反射XSSGET请求类型攻击但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做过呢?正什么是RefererReferer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上所说的场景,遇见了Re...
前端、CROS、JSONP
xiaobangsky的专栏
12-13 380
指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 例如:a页面想获取b页面资源,如果a、b页面的协议、名、端口、名不同,所进行的访问行动都是的,而浏览器为了安全问题一般都限制了访问,也就是不允许请求资源。注意:限制访问,其实是浏览器的限制。 特别注意:不同源的页面之间,不准相互访问数据 同源策略 同源定义 源 window.origin或location.origin 可以得到当前源 源 = 协议 + 名 +
html中jsonp错误,解决jquery中jsonp格式请求报parsererror的错误
weixin_29974217的博客
06-23 1245
在vs中创建一个空的mvc项目,在Controllers件夹中添加一个控制器CommonController,并在该控制器下添加一个action用于获取服务器时间,代码如下:publicActionResultgetServerTime(stringcallback){stringjsonp="'serverTime':'{0}'";DateTimecurTime=DateTi...
http referer 验证防御方法_常见WEB漏洞JSONP安全与防御
weixin_40003451的博客
11-29 413
01 JSONP1.1 JSONP的概念浏览器的同源策略使得比如 http://www.a.com 的网站没法直接获取 http://www.b.com 的相关数据,那么假如在一些应用场景一定要获取怎么办?JSONP就是一种解决方式,所以说它是解决请求资源而产生的解决方案。1.2 JSONP场景示例类似腾讯或者网易这种大公司,通常采用一套用户系统,在一个地方登陆,其他地方就免登陆,那么专门用作...
解决之JSONPCORS的详细介绍
01-19
JSONPCORS 什么是:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
请求资源-jsonpcors区别.pdf
04-09
不同之间相互请求资源,就算作“”。 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,...
SpringBootJsonpCors的方法
10-16
将深入探讨如何在SpringBoot框架中解决问题,主要涉及两种方法:JSONPCORS。 ### JSONP(JSON with Padding) JSONP是一种解决问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
js实现的几种方法汇总(图片ping、JSONPCORS
11-22
是Web开发中一个常见的概念,由于浏览器的同源策略限制,JavaScript通常只能与同一名下的资源进行交互。然而,随着互联网应用的发展,不同源之间的数据交换变得日益重要,因此出现了多种解决方案。本将...
请求两种方法 jsonpcors的实现
12-02
当浏览器尝试从一个源(源名、协议和端口)加载资源到另一个不同的源时,由于同源策略的限制,通常会受到禁止。为了解决这个问题,开发者可以采用两种主要方法:JSONP(JSON with Padding)和CORS(Cross-Origin ...
:ajax,jsonp,设置消息头
Q_TONG的专栏
04-03 3563
方法一:在服务器端加消息头 res.setHeader("Access-Control-Allow-Origin","*");允许所有的 Response.AddHeader("Access-Control-Allow-Origin", "http://www.bsidu.com:801"); 只有来自 http://www.bsdu.com:801 源下的脚本才可以进行访问。 请求端不
http请求中的referer
迟到的程序猿
08-05 7916
 HTTP referer是一个HTTP请求头,名字是“referer”,当浏览器向Web服务器发送请求的时候,一般会带上referer,告诉服务器是从哪个页面链接过来的。服务器可以获得referer用于处理,比如统计每天有都少访问是从搜索引擎链接过来的。 referer <a href="referer2.jsp">链接到referer2.jsp  
财务收支管理系统(带对账)Excel模板
07-16
【作品名称】:财务收支管理系统(带对账)Excel模板 【适用人群】:适用于希望学习不同技术领的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
人工智能机器学习基础非线性回归
07-16
使用python实现机器学习基础非线性回归
Python编程惯例.md
07-16
python安装
传感器习题集.doc
07-16
传感器
无线多媒体传感器网络论:基于无线多媒体传感器网络的图像分布式处理技术的研究.doc
07-16
传感器
历年美国总统数据1789-2025年.xlsx
最新发布
07-16
样例数据及详细介绍:https://blog.csdn.net/T0620514/article/details/140477245
03_JSONP
06-21
JSONP是前端开发中一个重要的技术点,了解同源策略原理和应用可以帮助我们更好地理解浏览器的安全机制和解决访问数据的问题。同时,防抖和节流技术也是优化前端性能的重要手段,可以有效地减少事件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码讲故事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值