jsonp跨域时如何解决xss漏洞

最新推荐文章于 2023-08-16 21:02:20 发布
最新推荐文章于 2023-08-16 21:02:20 发布
阅读量304 收藏
点赞数
文章标签: 前端 json javascript ViewUI
原文链接:http://www.cnblogs.com/langtao/p/3549272.html
版权

解决安全性问题,主要涉及两点:

(1) 前后端约定jsonp请求的js的回调函数名

(2) 服务器端指定返回的数据格式为json

(3) 进行referrer验证 ($_SERVER['HTTP_REFERER'] 中的 host,是否在白名单内)

 

以下是事例代码:

1. 前端js发起ajax跨域jsonp请求:

$.ajax({
    type: "GET",
    url: "http://xxx.com/getData",
    dataType: "jsonp", 
    jsonp: "callbackParam", //自定义callback参数名称,可将默认的参数名称callback自定义成myCallback等其他名称
    jsonpCallback:"getData", //自定义callback的js函数名
    success: function(data) {
        ...
    }
});

2. 服务器端返回数据:

public function getData(){
    //指定返回的数据格式,以便于可执行js函数
    header("Content-type: application/javascript");

    $callback = $this->_param('callbackParam');

    //约定只接受某个js回调函数名
    if($callback != 'getData') {
        $callback = 'getData';
    }

    $data = array(...);

    echo $callback.'('.json_encode($data).')';
    exit;
}

 

转载于:https://www.cnblogs.com/langtao/p/3549272.html

weixin_30693183
关注
JSONP存在的JSON Hijacking漏洞以及与csrf/xss漏洞的关系
Meditation
01-28 8951
在实习过程中接触过所谓的JSON Hijacking 漏洞,但最近在写论文发现理解得不深,好像跟xss与csrf又有点区别与联系,索 性深入学习了下JSONP。 下面一段话截取自:http://stackoverflow.com/questions/2067472/what-is-jsonp-all-about 举例
蜜罐中利用jsonp跨域漏洞xss漏洞的分析
HBohan的博客
02-12 1503
一、前言 我们在打红队的候,经常会碰到蜜罐,而更有一些“主动防御”的蜜罐中利用到了一些网站的跨域漏洞xss,对此进行简单分析。 二、蜜罐的概念 蜜罐主要是通过布置诱饵,诱使攻击者实施攻击,然后通过流量捕获、行为分析等对攻击者画像及溯源。 例如HFish蜜罐,属于高交互蜜罐,通过捕获攻击者行为,获取攻击者攻击数据、IP地址等,然而只是获取这些数据进行攻击者画像是远远不够的,而HFish也提供了自定义web蜜罐的部署,简单分析下碰到的两个蜜罐。 以下是红队和漏洞挖掘中碰到的两个蜜罐截图。 为什么说是“.
Django入门(六)之搜索功能、JSONP实现跨域请求、XSS过滤和单例模式
Wielun
03-05 416
上一篇文章>Django入门(五)之ModelForm操作、原生Ajax、伪Ajax、文件上传及图片验证码生成 一、本机环境 操作系统:Red Hat Enterprise Linux Server release 7.3 (Maipo) Python版本:python3.6 Django版本:Django-2.1.5 [root@python _Django]# tree item i...
jsonp接口的xss防范
weixin_30251829的博客
08-23 289
防范方式也很简单,只要在header里输出类型设置为javascript即可: 1 header('Content-type: text/javascript;charset=utf-8'); 转载于:https://www.cnblogs.com/yangxiaolan/p/5797782.html...
Jsonp跨域漏洞浅析
来到了学渣的博客
05-11 1233
为什么要用到jsonp跨域? 同源策略:协议、域名、端口都相同,是一种安全策略,不同源的客户端脚本在没有明确授权的情况下,不能读取对方资源。 如何解决跨域(目前我掌握的有两种手段 (1)JSONP方式 (2)跨域资源共享(CORS)cors跨域漏洞浅析 Json一般长这样 {“name”:“aufeng”, “blog”:“https://blog.csdn.net/weixin_41598660”} 它是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript
常见WEB漏洞JSONP安全与防御
weixin_43815032的博客
04-17 349
01 JSONP 1.1 JSONP的概念浏览器的同源策略使得比如 http://www.a.com 的网站没法直接获取 http://www.b.com 的相关数据,那么假如在一些应用场景一定要获取怎么办?JSONP就是一种解决方式,所以说它是解决跨域请求资源而产生的解决方案。 ...
jsonp跨域漏洞
qq_44768719的博客
04-21 262
跨域:协议,域名,端口三者为域,既三者之间有一个不同即为跨域跨域的方法: jsonp(只接受get请求) 跨资源共享(cors) 原理解析:个人理解:json可以实现跨域,所以我们可以构造代码去对服务器进行请求,获取他的信息。(调用js文件不受跨域的影响,凡是拥有src属性的标签都有跨域能力) exp: <html> <head> <meta charset="utf-8"> <title>JSONP劫持测试</title> </hea
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2809
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
轻松搞定jQuery+JSONP跨域请求的解决方案
10-18
需要注意的是,虽然JSONP提供了一种灵活的跨域请求解决方案,但它也有一些局限性和安全风险。例如,JSONP允许执行任意的JavaScript代码,如果服务器端的输出没有经过严格验证和清洗,可能会导致跨站脚本攻击(XSS)...
JSONP跨域GET请求解决Ajax跨域访问问题
10-24
JSONPJSON with Padding)是一种跨域数据交互协议,它利用了...然而,由于其本身的局限性,如仅支持GET请求和潜在的安全风险,开发者在使用需要权衡利弊,并考虑使用其他跨域解决方案,如CORS(跨源资源共享)等。
基于vue-resource jsonp跨域问题的解决方法
10-18
在描述中提到,遇到的JSONP跨域请求错误可能包括请求成功但报错,以及服务器返回正确的数据但前端无法解析。这往往是因为JSONP响应没有被正确处理,缺少了一个关键步骤——将返回的数据以脚本的方式执行。 在使用...
原生js获取cookie获取scrf防跨站攻击token
qq_38355456的博客
09-27 1664
var _csrf = (/_csrf=[^;]+;?/i).exec(document.cookie); if(_csrf) { _csrf = _csrf[0].replace('_csrf=', '').replace(';', ''); }
WEB攻防通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持
ran的博客
04-29 1699
同源策略(SOP)-“同源包括三个条件:同协议、同域名、同端口。会检测数据包的来源在哪里,进而来判断数据包是否非法,如果检测到是第三方网站发送过来的数据包,网站就不会接收相应的处理,进而提高网站的安全性,防止CSRF。同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互这是一个用于隔离潜在恶意文件的关键的安全机制简单说就是浏览器的一种安全策略。虽然同源策略在安全方面起到了很好的防护作用但也在一定程度上限制了一些前端功能的实现所以就有了许多跨域的手段。
JSONP跨域访问漏洞
Echo__h的博客
05-02 534
构造如下页面,创建恶意链接诱使用户点击,即可获取用户的信息// 调用stringfy方法,将JSON对象转换为字符串 alert(JSON . stringify(args));//"></script> // %2B为+ %26为& < / script >模拟用户访问,成功将cookie和url地址添加到数据库。
谈谈对于XSS跨站脚本攻击的学习(1)
2302_76827504的博客
04-17 334
最近学完XXE之后,对于这种恶意代码注入的漏洞提起来兴趣,想着现在正好趁热打铁,学习一下XSS,之前做题的候看大师傅的wp一愣一愣的,不明白个所以然,这次系统的学习一下,在本文中将介绍有关XSS的知识点以及原理,也会介绍XSS的绕过姿势(这里参考了别的大师傅的思路,也给出了我自己的理解),希望给正在学习XSS的你有帮助。
XSS知识总结
weixin_64051447的博客
04-26 1747
HTML标签 等带src属性的标签都可以跨域加载资源,而不受同源策略的限制。每次加载都会由浏览器发送一次GET请求,通过src属性加载的资源,浏览器会限制JavaScript的权限,使其不能读写返回的内容。
xss漏洞分析与利用
qq_34304107的博客
04-13 3354
一、寻找XSS1、找到可控参数URL参数输入表单HTTP头部信息(user-agent、ip、location、referrer等)2、找到参数输出点HTML标签JavaScript事件DOM型3、精心构造payload二、利用BurpSuite实现自动化测试XSSValidator+phantomjs+xss.js1、burpsuite安装xss-validator插件2、安装phantomjs...
跨域方法总结
杨森源的博客
12-03 2674
最近面试问的挺多的一个问题,就是JavaScript跨域问题。在这里,对跨域的一些方法做个总结。由于浏览器的同源策略,不同域名、不同端口、不同协议都会构成跨域;但在实际的业务中,很多场景需要进行跨域传递信息,这样就催生出多种跨域方法。具备src的标签 原理:所有具有src属性的HTML标签都是可以跨域的 在浏览器中,<script>、<img>、<iframe>和<link>这几个标签是可以加载跨
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞
最新发布
精品博客,你值得一看~
08-16 868
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
jsonp跨域访问漏洞
05-10
JSONP实现过程中存在一定的安全风险,主要原因是它需要在客户端动态创建 script 标签,而 script 标签可以执行任意的 JavaScript 代码,所以攻击者可以利用 JSONP漏洞进行 XSS 攻击等恶意行为。 攻击者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值