如何有效防范并解决JSON和JSONP劫持问题?
- 内容介绍
- 文章标签
- 相关推荐
本文共计765个文字,预计阅读时间需要4分钟。
JSON劫持是一种攻击方式,其过程类似于CSRF(跨站请求伪造),但并非CSRF。它只涉及发送HTTP请求,但其目的是获取敏感数据。一些Web应用会将敏感数据以JSON格式返回。
json劫持
json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送www.test.com/userinfo
攻击者可以在自己的虚假页面中,加入如下标签:
<script src="www.test.com/userinfo"></script>
如果当前浏览器已经登录了www.test.com,并且cookie未过期,然后访问了攻击者的虚假页面,那么该页面就可以拿到json形式的用户敏感信息,因为script标签会自动解析json数据,生成对应的js对象。然后再通过
Object.prototype.__defineSetter__
这个函数来触发自己的恶意代码。
但是这个函数在当前的新版本chrome和firefox中都已经失效了。
jsonp劫持
jsonp是一个非官方的协议,利用script元素的开放策略,网页可以得到从其他来源动态产生的json数据,因此可以用来实现跨域。
本文共计765个文字,预计阅读时间需要4分钟。
JSON劫持是一种攻击方式,其过程类似于CSRF(跨站请求伪造),但并非CSRF。它只涉及发送HTTP请求,但其目的是获取敏感数据。一些Web应用会将敏感数据以JSON格式返回。
json劫持
json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送www.test.com/userinfo
攻击者可以在自己的虚假页面中,加入如下标签:
<script src="www.test.com/userinfo"></script>
如果当前浏览器已经登录了www.test.com,并且cookie未过期,然后访问了攻击者的虚假页面,那么该页面就可以拿到json形式的用户敏感信息,因为script标签会自动解析json数据,生成对应的js对象。然后再通过
Object.prototype.__defineSetter__
这个函数来触发自己的恶意代码。
但是这个函数在当前的新版本chrome和firefox中都已经失效了。
jsonp劫持
jsonp是一个非官方的协议,利用script元素的开放策略,网页可以得到从其他来源动态产生的json数据,因此可以用来实现跨域。