JSONP跨域问题

最新推荐文章于 2024-11-01 07:44:09 发布
最新推荐文章于 2024-11-01 07:44:09 发布
阅读量124 收藏
点赞数
分类专栏: 网络安全基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kekefen01/article/details/90473617
版权

jsonp的原理很简单,就是动态的创造script标签,然后利用script的src不受同源策略约束来跨域获取数据。
dvwa bypass CSP 的high级别就使用了JSONP

页面中存在的js文件:


function clickButton() {
    var s = document.createElement("script");
    s.src = "source/jsonp.php?callback=solveSum";
    document.body.appendChild(s);
}

var solve_button = document.getElementById ("solve");

if (solve_button) {
    solve_button.addEventListener("click", function() {
        clickButton();
    });
}
//前面的为动态创造script标签绑定事件
function solveSum(obj) {
    if ("answer" in obj) {
        document.getElementById("answer").innerHTML = obj['answer'];
    }
} //收到服务端返回到插入页面的值

服务端代码:

<?php
header("Content-Type: application/json; charset=UTF-8");

if (array_key_exists ("callback", $_GET)) {
	$callback = $_GET['callback'];
} else {
	return "";
}

$outp = array ("answer" => "15");

echo $callback . "(".json_encode($outp).")";
?>

这里存在的问题是callback参数未经过过滤,可能构成XSS

?callback=alert(document.cookie)//

实现弹窗

值得注意的是,为什么浏览器会把JSONP接受到的数据当做js代码执行
普通的script标签内一般是js文件:

<script src="xxxx.js"></script>

但是作为JSONP的src里面放的是后台地址和参数

<script src="source/jsonp.php?callback=solveSum"></script>

所以先请求,请求到的数据会被浏览器作为js代码执行。
一开始还不太清楚为什么这个js会被执行,后来我想明白了,这就和请求普通的js文件一样,浏览器会把请求普通js的返回(js代码)作为代码执行,而请求source/jsonp.php?callback=solveSum返回的也是js代码,对于浏览器来说是没有任何区别的。
这里要注意,直接访问网址source/jsonp.php?callback=solveSum并不会导致回传代码的执行。
通过JSONP的跨域特性也可以进行CSP的绕过,对于禁用了inline js脚本的CSP来说,可以通过JSONP进行绕过。

能否详细解释一下CSP的具体配置方法?
祈澈菇凉
02-18 977
内容安全策略是一种强大的工具,可以显著提高 Web 应用的安全性。通过合理配置 CSP,可以有效预防 XSS 和其他代码注入攻击。在实施 CSP 时,建议逐步增强策略,监控报告数据,确保网站功能正常的同时,防止潜在的安全风险。
jsonp原理详解——终于搞清楚jsonp是啥了
zaxzdqd的博客
01-09 5561
什么是JSONP?先说说JSONP是怎么产生的:其实网上关于JSONP的讲解有很多,但却千篇一律,而且云里雾里,对于很多刚接触的人来讲理解起来有些困难,着用自己的方式来阐释一下这个问题,看看是否有帮助。1、一个众所周知的问题,Ajax直接请求普通文件存在无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是请求,一律不准。2、不过我们又发现,Web页面上调用js文件时则不受
通过script标签的src属性引入的jsonp
Blog_inG的博客
01-04 4162
script只能读取当前服务器的资源,当需要访问其它服务器上的资源时可通过&lt;script src="http://localhost/a.php?callback=jsnop&amp;_=123456"&gt;来引入外部资源。 src属性返回的内容必须为合格的js代码,例如json([]),正常的js代码,而{}形式的对象并不是合格的js代码,所以会报错。 myObj = { "na...
JSONP解决问题
qq_43781887的博客
09-18 7322
JSONP的实现原理:由于浏览器收同源策略的限制,网页无法通过Ajax请求非同源的接口数据,但是script标签不受浏览器同源策略的影响,可以通过src属性请求非同源js脚本。简而言之,JSONP的实现原理就是通过标签的src属性,请求的数据接口,并通过函数调用的形式,接收接口响应回来的数据。出现的根本原因:浏览器的同源策略不允许非同源的URL之间进行资源的交互。概念:同源指的是两个URL的协议、名、端口号一致,反之则是。八、实现一个简单的JSONP数据请求
如何实现jsonp
最新发布
Sherry Tian的博客
11-01 987
JSONP(JSON with Padding)是一种实现请求的技术。它利用了标签没有同源策略限制的特点来实现服务器的数据请求JSONP的工作原理是......
vue-resource jsonp问题解决方法
热门推荐
YUSIR 完美CODING世界
08-15 1万+
最近在学习vue.js 碰到个ajax请求问题,之前知道可以用jsonp解决,但是一直没实践过,这次用发现里面好多问题,所以现在记录下来,希望可以给刚接触使用jsonp的同学一点帮助! 关于什么是jsonp,以及为什么要用jsonp我就不多说了,不明白的同学自行百度一下。 我们先来说一下jQuery里面的jsonp请求,这搞懂了 vue-resource 里面的jsonp
jsonp解决问题
IvyMemphis的博客
01-29 9292
JSONP解决问题一级目录二级目录三级目录1. jsonp方案 一级目录 二级目录 三级目录 1. jsonp方案 jsonp实现请求的原理: 动态创建在这里插入代码片
jsonp
画个圆圆的地球
12-06 3886
jsonp
jsonp问题h5
llllvvv的博客
07-21 646
过滤器CrossFilter.java import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
JSONP访问漏洞
没有网络安全就没有国家安全
08-20 1191
本篇文章主要讲解JSONP访问过程中存在的漏洞机制
基于vue-resource jsonp问题的解决方法
10-18
在描述中提到,遇到的JSONP请求错误可能包括请求成功但报错,以及服务器返回正确的数据但前端无法解析。这往往是因为JSONP响应没有被正确处理,缺少了一个关键步骤——将返回的数据以脚本的方式执行。 在使用...
AJax与Jsonp访问问题小结
10-23
AJAX和JSONP问题,虽然在技术上已经可以解决,但在实际使用过程中还需要根据具体的安全要求和业务场景,选择合适的技术方案。在处理请求时,还需要考虑到服务器端的配置,确保响应的头部中包含了正确的...
利用jsonp调用百度js实现搜索框智能提示
11-25
JSONP调用与百度搜索框智能提示】 在Web开发中,由于浏览器的同源策略限制,JavaScript无法直接发起请求。为了解决这个问题JSONP(JSON with Padding)应运而生。JSONP是一种绕过同源策略的技术,通过...
html通过 ajax jsonp请求接收和传送数据
11-23
JSONP(JSON with Padding)是一种解决问题的非标准方法,主要用于JSON数据的获取。JSON是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。JSONP的核心思想是利用`<script>`标签的src...
文件上传及利用upload-libs通关总结
kekefen01的博客
05-19 3563
一、文件上传简介 “文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 文件上传后导致的常见安全问题一般有: 1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。 2)上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该下的行为(其他通过类似方式控...
安全的cookie和token机制
kekefen01的博客
12-16 1460
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
利用椭圆曲线进行加密通信
kekefen01的博客
12-14 918
一个利用椭圆曲线进行加密通信的过程: 1、用户A选定一条椭圆曲线Ep(a,b),并取椭圆曲线上一点,作为基点G。   2、用户A选择一个私有密钥(随机数)k,并通过某种快速算法生成公开密钥K=kG。   3、用户A将Ep(a,b)和点K,G传给用户B。   4、用户B接到信息后 ,将待传输的明文编码到Ep(a,b)上一点M,并产生一个随机整数r(r<n)。   5、用户B计算点P1=M+rK;P2=rG。   6、用户B将P1、P2传给用户A。   7、用户A接到信息后,计算P1-kP2,结果就是点M
密码学笔记
kekefen01的博客
05-01 421
《网络安全基础:应用与标准》第五版。随手笔记 对称加密:加密和解密的密钥相同 DES/3DES AES讲解视频: https://www.bilibili.com/video/av46440862?from=search&seid=7085284325896270887 RC4: 分组密码工作模式:ECB、CBC等 kerberos:仅依赖对称加密机制 假如你要去社区事务中心去办理居住证,...
vue axios jsonp问题
09-06
Jsonp是一种解决问题的方法之一。 Jsonp全称为JSON with Padding,它通过在前端创建一个script标签,并设置其src属性为包含回调函数的URL,来实现请求。服务器在收到请求后,将返回一个JavaScript函数调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值