cors数据类型_JSONP和CORS跨站跨域读取资源的漏洞利用(附带EXP)

最新推荐文章于 2021-10-11 16:56:06 发布
最新推荐文章于 2021-10-11 16:56:06 发布
阅读量233 收藏 1
点赞数
文章标签: cors数据类型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39621819/article/details/111498936
版权

JSONP 教程

Jsonp(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。

一、服务端JSONP格式数据

header('Content-type: application/json');

//获取回调函数名

$jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback']);

//json数据

$json_data = '["customername1","customername2"]';

//输出jsonp格式的数据

echo $jsoncallback . "(" . $json_data . ")";

?>

二、客户端实现 callbackFunction 函数

function callbackFunction(result, methodName)

{

var html = '

  • ';

for(var i = 0; i < result.length; i++)

{

html += '

' + result[i] + '';

}

html += '

';

document.getElementById('divCustomers').innerHTML = html;

}

客户端页面完整代码

JSONP 实例

function callbackFunction(result, methodName)

{

var html = '

  • ';

for(var i = 0; i < result.length; i++)

{

html += '

' + result[i] + '';

}

html += '

';

document.getElementById('divCustomers').innerHTML = html;

}

jQuery 使用 JSONP

JSONP 实例

$.getJSON("http://www.runoob.com/try/ajax/jsonp.php?jsoncallback=?", function(data) {

var html = '

  • ';

for(var i = 0; i < data.length; i++)

{

html += '

' + data[i] + '';

}

html += '

';

$('#divCustomers').html(html);

});

jQuery – AJAX get() 和 post() 方法

jQuery $.get() 方法

$(document).ready(function(){

$("button").click(function(){

$.get("/example/jquery/demo_test.asp",function(data,status){

alert("数据:" + data + "\n状态:" + status);

});

});

});

向页面发送 HTTP GET 请求,然后获得返回的结果

jQuery $.post() 方法

$(document).ready(function(){

$("button").click(function(){

$.post("/example/jquery/demo_test_post.asp",

{

name:"Donald Duck",

city:"Duckburg"

},

function(data,status){

alert("数据:" + data + "\n状态:" + status);

});

});

});

向页面发送 HTTP POST 请求,并获得返回的结果

jQuery AJAX get() 和 post() 方法

jQuery get()

使用 $.get() 方法从服务端异步获取数据

菜鸟教程(runoob.com)

$(document).ready(function(){

$("button").click(function(){

$.get("/try/ajax/demo_test.php",function(data,status){

alert("数据: " + data + "\n状态: " + status);

});

});

});

发送一个 HTTP GET 请求并获取返回结果

jQuery post()

使用 $.post() 方法从服务端异步获取数据

菜鸟教程(runoob.com)

$(document).ready(function(){

$("button").click(function(){

$.post("/try/ajax/demo_test_post.php",{

name:"菜鸟教程",

url:"https://www.runoob.com"

},

function(data,status){

alert("数据: \n" + data + "\n状态: " + status);

});

});

});

发送一个 HTTP POST 请求页面并获取返回内容

jQuery jsonp跨域请求

jquery的jsonp方式跨域请求

最简单的方式,只需配置一个dataType:’jsonp’,就可以发起一个跨域请求。jsonp指定服务器返回的数据类型为jsonp格式,可以看发起的请求路径,自动带了一个callback=xxx,xxx是jquery随机生成的一个回调函数名称。

这里的success就跟上面的showData一样,如果有success函数则默认success()作为回调函数。

跨域测试

$(document).ready(function () {

$("#btn").click(function () {

$.ajax({

url: "http://localhost:9090/student",

type: "GET",

dataType: "jsonp", //指定服务器返回的数据类型

success: function (data) {

var result = JSON.stringify(data); //json对象转成字符串

$("#text").val(result);

}

});

});

});

回调函数你可以写到

然后看调用结果,发现,请求时带的参数是:callback=showData;调用回调函数的时候,先调用了指定的showData,然后再调用了success。所以,success是返回成功后必定会调用的函数,就看你怎么写了。

<%@ page pageEncoding="utf-8" contentType="text/html;charset=UTF-8" language="java" %>

跨域测试

function showData (data) {

console.info("调用showData");

var result = JSON.stringify(data);

$("#text").val(result);

}

$(document).ready(function () {

// window.showData = function (data) {

// console.info("调用showData");

//

// var result = JSON.stringify(data);

// $("#text").val(result);

// }

$("#btn").click(function () {

$.ajax({

url: "http://localhost:9090/student",

type: "GET",

dataType: "jsonp", //指定服务器返回的数据类型

jsonpCallback: "showData", //指定回调函数名称

success: function (data) {

console.info("调用success");

}

});

});

});

weixin_39621819
关注
漏洞利用JSONP跨域请求漏洞 挖掘、利用详解
weixin_44023442的博客
03-13 3340
参考文章 轻松搞定JSONP跨域请求 jsonp跨域原理,使用以及同源策略 跨域漏洞丨JSONPCORS跨域资源共享 Tag: Ref: [[019.同源策略]] 本片文章仅供学习使用,切勿触犯法律! 未写完,待补充 概述 总结 一、漏洞介绍 JSONP介绍 JSONP 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写。 JSONP是一种利用HTML中<script></script>元素标签,远程调用json文件来实现数据传递的技术,
cors跨域_跨域漏洞丨JSONPCORS跨域资源共享
weixin_39761880的博客
11-23 236
进入正文之前,我们先来解决个小问题,什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!跨域常见的两种方式,分别是JSONPCORS。今天i春秋以JSONPCORS这两个知识点,分享一篇比较基础的跨域漏洞知识点,希望能够抛砖引玉。JSONP跨域JSONP(JSON with padding),是一种利用HTML中<script>&...
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2831
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
同源策略&CORS跨域漏洞&JSONP跨域漏洞
niqiu320的博客
04-23 454
同源策略介绍 什么是同源策略? 同源策略是一种约定,它是浏览器最核心的也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对 同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。 当一个浏览器的两个tab页中分别打开来百度和谷歌的页面。 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的。 即检查是否同源,只有和百度同源的脚本才会执行。 如果非同源,那么在请求数据时,浏览器会在控制台中报
跨域漏洞丨JSONPCORS跨域资源共享
dfdhxb995397的博客
05-09 515
进入正文之前,我们先来解决个小问题,什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 跨域常见的两种方式,分别是JSONPCORS。 今天i春秋以JSONPCORS这两个知识点,分享一篇比较基础的跨域漏洞知识点,希望能够抛砖引玉。 JSONP跨域 JSONP(JSON with padding),是一种利用...
跨域请求资源-jsonpcors区别.pdf
最新发布
04-09
### 跨域请求资源——JSONPCORS的区别 #### 一、跨域的基本概念 在Web开发中,“跨域”是指从一个域名发起请求到另一个域名。这主要是因为浏览器出于安全考虑实施了**同源策略**(Same-Origin Policy)。同源...
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
你可能不知道的CORS跨域资源共享
10-17
但像链接、重定向和表单提交等不受同源策略的限制,这为跨域攻击提供了可能,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 为了解决这些问题并支持安全的跨域访问,出现了各种跨域解决方案。JSONP(JSON with ...
js实现跨域的几种方法汇总(图片ping、JSONPCORS
11-22
跨域是Web开发中一个常见的概念,由于浏览器的同源策略限制,JavaScript通常只能与同一域名下的资源进行交互。然而,随着互联网应用的发展,不同源之间的数据交换变得日益重要,因此出现了多种跨域解决方案。本文将...
SpringBoot跨域JsonpCors的方法
10-16
本文将深入探讨如何在SpringBoot框架中解决跨域问题,主要涉及两种方法:JSONPCORS。 ### JSONP(JSON with Padding) JSONP是一种解决跨域问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
cors站点数据
03-14
cors站数据用于论文的写作和用处,了解一些可靠地信息。
CORS参考站数据读取
10-13
程序主要读取参考站采集的数据并存储GPS参考站数据,主要用于对GPS观测数据进行处理。
CORS漏洞利用检测和利用方式
weixin_30245867的博客
07-21 5847
  CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。 检测方式:   1.curl访问网站     curl https://www.huasec.com -H "Origin: https://test.com" -I   检查返回包的 Access-C...
cors数据类型_CORS跨域学习篇
weixin_42511702的博客
01-11 274
原标题:CORS跨域学习篇CORS跨域访问什么是CORS全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。CORS漏洞利用CORS技术窃取用户敏感信息同源策略简介同源策略是浏览器最核心也是最基本的安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的dom、cookie、session、ajax等操作的权限资源。同源有三个条件:协议、域名、端口相同同源检测的示例检测...
Ajax 同源问题 CORS解决方案 借助服务器端获取数据
procul的博客
06-23 170
CORS 跨域资源共享 客户端: 维持Ajax代码不变 服务器端:设置头部 1.设置哪些客户端可以访问我 res.header('Acess-Control-Allow-Oragin','*') //第一个参数为要设置的请求头部,第二个参数为可以访问的域名 2.设置允许客户端使用哪些请求方法来访问我 res.header('Acess-Control-Allow-Methods','post,get') //第二个参数为请求方法 跨域中是否携带cookie数据 xhr...
CORS实现跨域资源访问
weixin_30838873的博客
08-20 91
跨域资源共享(CORS)是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源CORS的使用非常简单方便,只需要在服务端的响应头信息中设置Access-Control-Allow-Origin,如果浏览器检测到相应的设置,就可以允许Ajax跨域访问资源。 相对于JSONP的方式来实现跨域访问,CORS有如下的优点: JSONP只能实现GET请求,而...
CORS跨域资源共享漏洞
墨鱼菜鸡
01-16 199
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,...
《网络安全学习》 第七部分-----跨域资源共享(CORS)漏洞
tomatocc的博客
02-24 5075
本博客内容部分来自于漏洞银行公开的学习视频之中,感谢漏洞银行的无偿技术分享。 第一部分:浏览器同源策略 学习跨域资源共享之前,首先要了解到的是浏览器同源策略这个概念。这样便于后续的跨域资源共享漏洞的理解和运用。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基...
JSONPCORS详解:跨域解决方案对比
JSONP(JSON with Padding)和CORS(Cross-Origin Resource Sharing)是两种不同的跨域解决方案,它们各自针对不同的场景和需求设计。 JSONP 是一种基于`<script>`标签的跨域技术,主要用于GET请求,适用于那些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值