eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

JSONP 網站跨域請求的一種調用方式



         在網站開發設計的過程當中,我們會多多少少的遇到網站跨域的問題,一般網站的跨域,

除了一個簡單的img、link、script、iframe等等的標籤調用法的跨域,還
有一些特殊用途用到

的跨域方式,我們現在瞭解應用比較廣泛的JSONP跨域。
 
 
JSONP 網站跨域方式
 
JSONP英文稱呼(JSON WITH PADDING),跨域的作用機制是調用在script標籤裡,這個需

要網站開發人員在設計的過程當中,前端以及網站後端都要做好函數對接工
作,這樣才能使

JSONP的跨域有效果。原理機制是當用戶訪問並請求到網站後端的
情況下,會返回一個JS的

地址,該JS地址會直接調用之前程序員設置好的函數,並
把用戶前端輸入的數據作為一個參數,

傳入到後端主機裡,並成功的完成數據的對接工作。
 
 
 
我們看個例子,如下圖所示:

 
當用戶訪問一個頁面,是不同跨域的頁面就會返回沒有值的頁面,在上面的這個例子裡,我們

可以看出來,程序內置好的函數為foot經過callback函數的調用並直接
傳遞給主機的後端,後

端主機根據傳遞過來的參數值進行判斷匹配,並返回給
用戶相應的值,來達到網站交互的功

能,並實現整個jsonp的跨域調用,在整個調
用過程當中,我們使用的都是script標籤,用戶的提

交方式也只能是以GET提交數
據的方式來執行。
 
 
JSONP跨域調用的方式上還存在著一些安全風險:
 
 
第一個是API 跨域調用的接口頁面是大家都可以調用的那還好說,如果是管理員內部使用的一

個API跨域接口那麼帶來的安全風險也是很大,存在著用戶隱私安全洩
露風險。

 
 
第二個是跨域調用返回的函數里用的JS代碼的話,那麼前端用戶輸入過來的值沒有做判斷的話,

或者是安全過濾的話,有可能造成SQL注入問題,以及XSS跨站攻擊,
甚至嚴重一點的話會導

致SOME漏洞的發生。

 
以上兩個安全風險,在程序員開發網站代碼的過程中,一定要提前做好漏洞修復,包括網站上

線後,要做好網站安全檢測,檢測是否存在以上的安全風險,盡可能的
對用戶輸入的值進行嚴謹

的過濾,保障整個網站的安全穩定運行。

分享:

相關推薦