前端
文章平均质量分 84
winnerX
这个作者很懒,什么都没留下…
展开
-
JSONP基本概念
AJAX由于JS跨域访问的限制,不能直接请求其他服务器的数据。而Script标签能够访问src指定url,而没有上述限制,所以可以利用这个方法获得其他服务器的数据. 这种利用方式被称为JSONP 为什么命名为JSONP呢。因为首先一般请求的数据为JSON格式,其次,因为通过script标签获得的实际上是js脚本,如果脚本中仅仅包含json数据的话,浏览器就仅仅相当于解析了一下json数据。所以原创 2015-06-20 14:58:57 · 1145 阅读 · 0 评论 -
JSONP安全性分析
1、主要是callback参数有没有进行适当的处理,否则会造成XSS漏洞,结合CSRF可以获取信息。比方说参数为callback=alert(1);truecallback,需要服务器B进行请求过滤转码。 2、http://zone.wooyun.org/content/16309 这段代码的大致意思就是假设黑客发给C一个html文件或者一个网址,C打开以后,这个恶意链接中的js代码会执行,会原创 2015-06-20 15:37:30 · 771 阅读 · 0 评论