JSONP跨域实现

最新推荐文章于 2023-12-27 16:46:50 发布
最新推荐文章于 2023-12-27 16:46:50 发布
阅读量131 收藏
点赞数
分类专栏: 跨域实现 文章标签: JSONP

JSONP(JSON con Padding)跨域实现

跨域问题是由于浏览器为了防止CSRF攻击,避免恶意攻击而带来的风险
而采取的同源策略限制

当一个页面中使用XMLHTTPRequest对象发送HTTP请求时(XHR请求),必须
保证当前页面和请求的对象是同源的,即协议,域名和端口号要完全一致,否则 浏览器就会阻止此跨域请求返回的数据

同源策略:
协议,域名和端口号的完全一致

CSRF攻击:

1.用户浏览并登陆信任网站
2.验证通过在用户处产生Cookie
3.用户在,没有退出A或者本地Cookie没有过期状态下访问网站B
4.B要求访问站点A,并发出request请求
5.根据B的请求用户带着本地Cookie访问网站A,从而实现CSRF的利用

需求
虽然同源策略可以有效的防止网络上的恶意攻击,但是在实际开发应用中,
我们往往需要从本站点向第三方站点发送XHR请求,这就需要有效的解决跨
域问题,

解决方案:
JSONP:只支持GET,不支持POST请求
代理:使用代理去避开跨域请求
服务端修改:在服务端页面添加header限制

headr('Access-Control-Allow-Origin:*')//设置所有来源访问
headr('Access-Control-Allow-Method:POST,GET')//设置访问方式

JSONP原理:

浏览器只对XHR(XMLHttpRequest)请求有同源请求限制,而对Script标签的src属性
link标签的ref属性和img标签src属性没有这种限制,利用这个漏洞就可以很好的解决跨域请求
JSONP就是利用Script标签的src属性开发策略来实现,当向第三方站点请求时,我们可以将此请求放在
<script>标签的src属性里如同我们请求一个普通的JS脚本,可以自由的向不同的站点请求

利用js实现跨域底层原理:

1.利用javaScript中的src属性发送请求
2.定义回调函数 function callback()
3.将返回值经过特殊封装串 callback(JSON)

jsvaScript实现
服务器:

public void ProcessRequest(HttpContext context) {
context.Response.ContentType = "text/plain";

//指定的回调函数名称
string callbackFuncName = context.Request.QueryString["callback"]; 
string reponseData = "test jsonp";
//回调脚本string scriptContent = callbackFuncName + "('" + reponseData + "'"; context.Response.Write(scriptContent); 
}

前端:

<script type="text/javascript" src="http://localhost/Service.ashx?callback=jsonpCallback" />
 //回调函数
 function jsonpCallback(content){ alert(content);
  } 
 </script>

JQuery实现
JQuery的ajax方法对JSONP方法进行了封装,使用JQuery提供的方法变得非常简单
前端:

<script type="text/javascript">
	$(function(){
		alert("测试访问开始!!!!!")
		
		$.ajax({
			url:"http://manage.jt.com/web/testJSONP",
			type:"get",			   //jsonp只能是get
			dataType:"jsonp",	   //jsonp必须添加
			//jsonp: "callback",   //指定参数名称
			//jsonpCallback: "hello",  //指定回调函数名称
			success:function (data){
				alert(data.id);
				//转化为字符串使用
				//var obj = eval("("+data+")");
				//alert(obj.name);
			}	
		});	
	})
</script>

防御CSRF攻击:

1.在客户端页面增加伪随机数
2.验证码
3.One-Time Tokens(不同的表单包含一个不同的伪随机值)

Mr.Moon.dsl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsonp跨域原理解析
qq_27009517的博客
02-18 1703
背景: 由于浏览器同源策略的限制,非同源下的请求,都会产生跨域问题,jsonp即是为了解决这个问题出现的一种简便解决方案。 同源策略即:同一协议,同一域名,同一端口号。当其中一个不满足时,我们的请求即会发生跨域问题。 举个简单的例子: http://www.abc.com:3000到https://www.abc.com:3000的请求会出现跨域(域名、端口相同但协议不同) http://www.abc.com:3000到http://www.abc.com:3001的请求会出现跨域(域名、协议
jsonp跨域的简单实现
BeterJane
03-24 379
1.Ajax我们都知道用ajax可以向另一个地址发送数据请求并处理服务器返回的数据,但发送方和接收方必须是同源地址,也就是不能跨域访问。 如下我们测试用一个ip去访问另一个ip里的ajaxphp.php<!DOCTYPE html> <html> <head> <title></title> </head> <body> <script type="text/javascript">
Jsonp如何实现跨域
X_X_OO的博客
09-01 575
JSONP的最基本的原理是:动态添加一个script标签,而script标签的src属性是没有跨域的限制的。这样说来,这种跨域方式其实与ajax XmlHttpRequest协议无关了。 JSONP(JSON with Padding)是json的一种”使用模式”,可用于解决主流浏览器的跨域数据访问的问题。由于同源策略,一般来说位于 server1.example.com 的网页无法与不是 se
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞)
精品博客,你值得一看~
08-16 861
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
JSONP跨域访问漏洞
Echo__h的博客
05-02 881
构造如下页面,创建恶意链接诱使用户点击,即可获取用户的信息// 调用stringfy方法,将JSON对象转换为字符串 alert(JSON . stringify(args));//"> // %2B为+ %26为& < / script >模拟用户访问,成功将cookie和url地址添加到数据库。
JSONP的安全漏洞与防范措施:防止跨站请求伪造攻击的方法
最新发布
apijunjun的博客
12-27 577
标签实现跨域数据交互的技术。然而,由于其安全机制的缺陷,JSONP容易受到跨站请求伪造(CSRF)攻击。本文将深入探讨JSONP的安全漏洞,并提出有效的防范措施来防止这类攻击。摘要:JSONP是一种通过动态插入。一、JSONP的安全漏洞。
JSONP跨域实现百度搜索功能(v1.0.0)
07-12
在本项目"JSONP跨域实现百度搜索功能(v1.0.0)"中,我们将深入探讨如何利用JSONP技术来实现在网页上嵌入一个能够进行百度搜索的功能。 首先,我们需要理解为什么需要JSONP。浏览器的同源策略是出于安全考虑,不允许...
jsonp跨域实现代码.zip_WEB开发_HTML_
08-10
JSONP(JSON with Padding)是一种跨域数据交互协议,它利用了`<script>`标签不受同源策略限制的特性,从而实现JavaScript从不同域名下获取数据。在Web开发中,由于浏览器的安全策略,通常JavaScript只能访问同一源...
jsonp跨域请求实现示例
10-20
通过上述的实现原理和示例代码,我们可以看到JSONP是一种相对简单且高效的跨域请求解决方案,特别适用于那些不能修改CORS配置的老旧API接口。然而,随着现代浏览器对CORS的支持越来越好,开发者们更倾向于使用CORS来...
利用jsonp跨域调用百度js实现搜索框智能提示
11-25
标题提到的"利用jsonp跨域调用百度js实现搜索框智能提示",即利用JSONP技术调用百度提供的API,实现在搜索框中输入关键字时,显示智能提示的功能,类似于百度搜索引擎的自动补全。 **JSONP原理**: JSONP的工作机制...
JSONP跨域访问实现
m0_73896875的博客
07-12 1021
JSONP(JSON with Padding)是一种用于解决跨域请求的方法,它允许从一个域请求另一个域的数据。JSONP利用了'<script>'标签的特性通过动态创建<script>标签来加载包含JSON数据的JavaScript文件。
利用jsonp实现跨域登陆
weixin_34258078的博客
07-28 103
2019独角兽企业重金招聘Python工程师标准>>> ...
SSO(四) cas ajax + jsonp实现跨域登录
fish的专栏
09-16 7578
之前的文章里介绍过通过GET的方式访问cas的登陆页,该页面实现自动提交,
使用 JSONP 实现跨域(速通)
高大志leo的博客
08-15 3547
两分钟,使用 JSONP 实现跨域
jsonp、cookies实现单点登录(完全跨域
qq_38089964的博客
06-25 5541
单点登录实现的目标:在一个套系统的任意一个系统登录之后,访问其他子系统能直接登录。 在同一主域名下的所有系统可以共享主域名的cookies,所以再一台服务器中登录之后,将token信息存入到主域名下的cookies中,任意一个子系统访问会自动带上这个token信息,能达到单点登录的效果。 这里主要实现完全跨域的情况下如何实现单点登录:也就是两个系统的域名完全分离,不能共用cookies信息,...
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2804
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
深入剖析jsonp跨域原理
weixin_33962923的博客
12-17 335
在项目中遇到一个jsonp跨域的问题,于是仔细的研究了一番jsonp跨域的原理。搞明白了一些以前不是很懂的地方,比如: 1)jsonp跨域只能是get请求,而不能是post请求; 2)jsonp跨域的原理到底是什么; 3)除了jsonp跨域之外还有那些方法绕过“同源策略”,实现跨域访问; 4)jsonp和ajax,或者说jsonp和XMLHttpRequest是什么关系; 等等。 1....
JSONP实现跨域
花生吃花生的学习记录
11-06 1696
首先说一下什么是跨域跨域就是在客户端在访问服务器的时候,出现了协议、域名、端口有一项或者几项不同,就会导致跨域。也就是说,在这种情况下,跨域会阻止你的访问。向服务器发送请求后,也自然不会收到服务器返回的数据了。 那么:跨域应该如何解决呢,通常跨域有两种解决办法,一种是利用JSONP实现跨域,另外就是使用CORS来实现跨域JSONP(JSON with Padding)实现跨域 原理:jsonp实现跨域的原理,就是利用script标签可以实现跨域访问,我们在使用script标签的时候,有时会
jsonp跨域访问实现
05-10
JSONP(JSON with Padding)是一种跨域访问的解决方案,它利用了 HTML 中 script 标签可以跨域请求资源的特性。具体实现步骤如下: 1. 定义一个回调函数,用于接收服务器返回的数据。 2. 在页面中创建一个 script ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值