Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

JSONP 网站跨域请求的一种调用方式



         在网站开发设计的过程当中,我们会多多少少的遇到网站跨域的问题,一般网站的跨域,

除了一个简单的img、link、script、iframe等等的标签调用法的跨域,还
有一些特殊用途用到

的跨域方式,我们现在了解应用比较广泛的JSONP跨域。
 
 
JSONP 网站跨域方式
 
JSONP英文称呼(JSON WITH PADDING),跨域的作用机制是调用在script标签里,这个需

要网站开发人员在设计的过程当中,前端以及网站后端都要做好函数对接工
作,这样才能使

JSONP的跨域有效果。原理机制是当用户访问并请求到网站后端的
情况下,会返回一个JS的

地址,该JS地址会直接调用之前程序员设置好的函数,并
把用户前端输入的数据作为一个参数,

传入到后端服务器里,并成功的完成数据的对接工作。
 
 
 
我们看个例子,如下图所示:

 
当用户访问一个页面,是不同跨域的页面就会返回没有值的页面,在上面的这个例子里,我们

可以看出来,程序内置好的函数为foot经过callback函数的调用并直接
传递给服务器的后端,后

端服务器根据传递过来的参数值进行判断匹配,并返回给
用户相应的值,来达到网站交互的功

能,并实现整个jsonp的跨域调用,在整个调
用过程当中,我们使用的都是script标签,用户的提

交方式也只能是以GET提交数
据的方式来执行。
 
 
JSONP跨域调用的方式上还存在着一些安全风险:
 
 
第一个是API 跨域调用的接口页面是大家都可以调用的那还好说,如果是管理员内部使用的一

个API跨域接口那么带来的安全风险也是很大,存在着用户隐私安全泄
露风险。

 
 
第二个是跨域调用返回的函数里用的JS代码的话,那么前端用户输入过来的值没有做判断的话,

或者是安全过滤的话,有可能造成SQL注入问题,以及XSS跨站攻击,
甚至严重一点的话会导

致SOME漏洞的发生。

 
以上两个安全风险,在程序员开发网站代码的过程中,一定要提前做好漏洞修复,包括网站上

线后,要做好网站安全检测,检测是否存在以上的安全风险,尽可能的
对用户输入的值进行严谨

的过滤,保障整个网站的安全稳定运行。

分享:

相关推荐