jsonp(json with padding)是資料格式 json 的一種「使用模式」,可以讓網頁從別的網域要資料。這個解釋來自於網際網路上面的答案。jsonp只是 一種使用json模式,之所以能夠很廣泛使用。主要用它來解決跨域訪問問題。可以方便跨網域名稱傳輸資料。一些是乙個jsonp的例子。但是,正確的使用jsonp是至關重要的,用得不好。將帶來重要資料把超範圍訪問,還會帶來各自xss漏洞。
jsonp跨域請求例子
傳統的ajax ,往往是 xmlhttprequest ,讀取乙個介面,返回類似: json值。一般我們都採用xmlhttprequest方法通過狀態判斷執行請求是否完畢。parseresponse是傳入引數值決定的,這樣好處通過script標籤可以解決跨域問題,並且只要script src位址載入完,js解析引擎就開始執行src位址返回 js內容了。 我們使用者不用關心,什麼時候src位址載入解析完。只用寫好接收函式:parseresponse,到時候自動回執行該專案。比傳統ajax確實多了很多方便!目前,象google翻譯,地圖等都用該方法。實現了跨域及非同步呼叫!jsonp的使用模式裡,該url回傳的是由自定義傳入函式名,動態生成json作為該函式入參,這就是jsonp 的「填充(padding)」或是「前輟(prefix)」的由來。
請求:
返回:parseresponse()
jsonp漏洞將來自**?
它給我們帶來的發布,是毫無疑問的。那麼它將會有哪些漏洞呢?首先,我們知道,一切輸入是有害的
。傳入callback 值會在結果裡面直接返回。因此,如果該引數過濾不嚴格。可以隨便輸入:callback值為:alert(『1』);parseresponse 字串。返回結果會列印個alert視窗,然後也會正常執行。
那麼另外我們知道,flash是可以跨域的。flash請求外部資源,現在都有個」crossdomain.xml」,可以授權允許那些**的站點,訪問指定站點的資源。其實目的就是為了防止,資源被越權呼叫了。 如果我們不對其授權,那麼任何**都可通過:建立script標記,讀取我**資源了!這個安全項,也就是是否有對訪問**進行了授權訪問!
jsonp漏洞總結:
知道了jsonp漏洞點主要有:callback引數注入、資源訪問授權設定!我們其實,可以通過這2項,來檢測我們的做的jsonp專案,裡面是否有安全隱患了。好了,今天先分析到這裡。這些漏洞都是,技術實現型漏洞!只要,我們明白了方法,杜絕是很容易的。之所以會出現類似安全隱患,更多來自,不知道這裡有類似安全問題!,
題外話、發發感慨!!現在網上看到很多教程,以及書籍都只會講,怎麼樣使用某個功能,它的方法、技巧等等!很少解決,技術功能點安全避免漏洞的呼叫方法!
做乙個功能很重要,但是我始終認為,開發乙個安全、穩定功能是最基礎的前提。 如果做的功能不安全,穩定!它急著上線,只會帶來更大的風險、或是損失!!!
常見應用安全漏洞
1.注入 注入攻擊漏洞,例如sql os ldap注入。這些攻擊發生在當不可信的資料作為命令或查詢語句的一部分,被傳送給直譯器的時候,攻擊者傳送的惡意資料可以欺騙直譯器,以執行計畫外的命令或未授權的查詢。2.失效的身份認證和會話管理 與身份認證和會話管理相關的應用程式功能往往得不到正確的實現,這就導...
常見Web安全漏洞
不同許可權賬戶之間的存在越權訪問 檢測防範 1伺服器端必須對每個頁面鏈結進行許可權判斷。2使用者登陸後,伺服器端不應再以客戶端提交的使用者身份資訊為依據,而應以會話中服務端儲存的已登陸的使用者身份資訊為準。3頁面提交的資源標誌與已登陸的使用者身份進行匹配比對,然後判斷其對當前鏈結是否有許可權。4必須...
ASP常見的安全漏洞
asp的漏洞已經算很少的了,想要找到資料庫的實際位置也不簡單,但這不表明黑客無孔可入,也正是這個觀點,一般的程式設計員常常忘記仔細的檢查是否有漏洞,所以才有可能導致 資料被竊取的事件發生。今天我在這裡和大家談談asp常見的安全漏洞,以引起大家的重視及採取有效的防範措施。注意,在本文中所介紹的方法請大...