首页 / JSON / 同源策略&CORS跨域漏洞&JSONP跨域漏洞

同源策略&CORS跨域漏洞&JSONP跨域漏洞

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了同源策略&CORS跨域漏洞&JSONP跨域漏洞，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2870字，纯文字阅读大概需要5分钟。

内容图文

同源策略介绍

什么是同源策略？
同源策略是一种约定，它是浏览器最核心的也是最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能会受影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

同源策略，它是由Netscape提出的一个著名的安全策略。
当一个浏览器的两个tab页中分别打开来百度和谷歌的页面。
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的。
即检查是否同源，只有和百度同源的脚本才会执行。
如果非同源，那么在请求数据时，浏览器会在控制台中报一个异常，提示拒绝访问。
不同的客户端本在未授权的情况下，不能读写对方的资源，如DOM、Cookie，Session等资源
同源策略限制了只有同源的脚本才会被执行，当打开一个网站的时候，会首先检查是否有同源，如果非同源，在请求数据的时候，浏览器就会进行拦截报异常，拒绝访问。
不同源的客户端脚本在未授权的情况下，不能读写对方的资源，如DOM，JS，Cookie，Session等资源。

浏览器规定，提交表单不受同源策略的限制。
同源策略&CORS跨域漏洞&JSONP跨域漏洞 - 文章图片
同源策略必须同时满足以下几个条件才会被称为是同源：
相同的协议：两个站点必须是使用同一种协议。
相同的域名：两个站点必须使用相同的域名。
相同的端口：两个站点必须使用相同的端口。

CORS跨域漏洞

什么是CORS跨域？
CORS即跨域资源共享，它是一种机制，web应用程序可以通过在HTTP中增加字段来告诉浏览器，哪些不同来源服务器是有权访问本站资源的，当不同域的请求发生时，就出现了跨域的现象。

CORS，跨域资源共享，它是为了弥补JSONP等跨域常见技术的缺陷，而提出的安全方便的跨域方案。它允许浏览器向跨域服务器，发出XMLHTTPRequest请求，从而克服AJAX只能同源使用的限制。
CORS需要浏览器和服务器同时支持，相比JSONP更加复杂，但是一般目前的浏览器都是支持的，服务器只需要进行相应配置，其通信过程都是浏览器自动完成，对于开发人员来说，跟写AJAX的代码没有区别，只是会在发送跨域请求时在HTTP请求头中添加一些字段来验证。
为什么要跨域？
跨域本质就是绕过同源策略的严格限制，安全与实用往往有时候会有一定的矛盾性，开发人员更注重的是功能的开发使用，例如：有时候同二级域名下的不同三级域名需要进行一些信息数据传输时，共享一些资源时，同源策略将其限制，但是又要实现该功能，此时就诞生了一些跨域请求的技术。
CORS跨域漏洞
修复方式：
合理配置Access-Control-Allow-Origin头，不设置为*。
设置白名单去限制允许跨域的地址，如Access-Control-Allow-Origin:http://127.0.0.1(只允许127.0.0.1)。
配置Access-Control-Allow-Credentials，不要使用true，避免cookie被窃取。
配置Access-Control-Allow-Methods时，尽量减少使用的请求方式。
JSONP跨域漏洞
什么是JSONP?
Josonp是基于josonp格式的为解决跨域请求资源而产生的解决方案，它的基本原理是利用HTML的元素标签，远程调用JSON文件来实现数据传递JSONP可以绕过AJAX遵循的同源策略。jsnop只支持Get方式。

JSON是一种基于文本的轻量级的数据交换格式。

同源策略&CORS跨域漏洞&JSONP跨域漏洞 - 文章图片

callback反射型XSS:
反射型XSS漏洞很简单，在Get请求中直接构造xss payload即可，可以用来挟持跳转到钓鱼站点或者盗取cookie信息。
callback函数安全修复建议

严格定义Content-Type：application/json 这样的防御机制导致了浏览器不解析恶意插入的xss代码。
过滤callback以及JSON数据输出这样的防御机制是比较传统的攻防思维，对输出点进行xss过滤。

同源策略&CORS跨域漏洞&JSONP跨域漏洞 - 文章图片
Jsonp跨域挟持修复建议：
验证Jsop文件调用的来源Refere
随机token

内容总结

以上是互联网集市为您收集整理的同源策略&CORS跨域漏洞&JSONP跨域漏洞全部内容，希望文章能够帮你解决同源策略&CORS跨域漏洞&JSONP跨域漏洞所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/1002905.html

来源：【匿名】

【上一篇】fastjson漏洞复现【下一篇】浅析php中json_encode()和json_decode()

更多 ►

【同源策略&CORS跨域漏洞&JSONP跨域漏洞】教程文章相关的互联网学习教程文章

Jsonp的使用【代码】

Jsonp的使用对于跨域请求，我们就可以使用 jsonp 来完成，依据script标签没有同源策略的限定，就能使用。这里，主要是讲封装一个jsonp请求的函数jsonp包地址(github)，这里面解释了jsonp的使用安装：npm install jsonp使用：import jsonp from ‘jsonp‘/*** 使用jsonp这个包，需要传递三个参数：* JSONP(url,options,fn)* url: 获取数据的详细路由* options: 参数 (可选参数)* fn: 回调函数（是否成功获取数据，回调）*/ 拼接U...

JSONP跨域实现【代码】

JSONP是为解决ajax无法跨域问题而生的。案例参考如下：前台实现：Html部分：<input type="button" id="btnGet" value="获取数据" /> JS部分： <script src="~/Scripts/jquery-1.8.2.min.js"></script> <script type="text/javascript">$("#btnGet").click(function () {$.ajax({type: "get",url: "http://localhost:4815/Home/ProcessCallback", // 这个就是不同于当前域的一个URL地址，这里单纯演示，所以同域dataType: "jsonp",j...

jsonp和callback的使用【代码】

这两天用 Jquery 跨域取数据的时候，经常碰到 invalid label 这个错误，十分的郁闷，老是取不到服务器端发送回来的 json 值，一般跨域用到的两个方法为：$.ajax 和$.getJSON 最后，仔细安静下来，细读 json 官方文档后发现这么一段： JSON数据是一种能很方便通过JavaScript解析的结构化数据。如果获取的数据文件存放在远程服务器上（域名不同，也就是跨域获取数据），则需要使用jsonp类型。使用这种类型的话，会创建一个查询字符串...

Jsonp 使用爬取可直接解析页面【代码】

目标：爬取某网站并导出到excel 方法：使用 JSOUP 爬取网站，使用AlibabaExcel 导出到文件实现 : 1.pom.xml 应用对应jar包 <dependency><groupId>org.jsoup</groupId><artifactId>jsoup</artifactId><version>1.11.3</version></dependency><dependency><groupId>com.alibaba</groupId><artifactId>easyexcel</artifactId><version>2.2.3</version></dependency>2.java 代码实现直接使用列表信息使用jsoup 从网站获取...

jsonp 跨域2【代码】【图】

<!doctype html> <html> <head> <meta charset="utf-8"> <meta name="author" content="智能社 - zhinengshe.com" /> <meta name="copyright" content="智能社 - zhinengshe.com" /> <title>智能社 - www.zhinengshe.com</title> <style></style> <script>window.onload = function(){var oText = document.getElementById("txt1");var oBtn = document.getElementById("btn1");//http://tcc.taobao.com/cc/json/mobile_tel_segme...

浅析跨域的方法之一 JSONP【代码】

概念：　　什么叫跨域？　　同源策略：它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。　　　　　　　所谓同源是指，域名，协议，端口相同。　　　　　　　同源的脚本才会被执行。例如在www.aaa.com/index.aspx里希望获得www.bbb.com/Map.ashx返回的数据，正常的ajax无法获取。跨域即绕过同源策略取得数据。　　但是凡事都有特例，想想我们常写的　　　　<img src="http://www.baidu....

RestEasy 3.x 系列之三：jsonp【代码】

跨域请求解决方法(JSONP, CORS)提到解决跨域可以使用jsonp，RestEasy自带jsonp的拦截器一、参考http://stackoverflow.com/questions/5350924/how-enable-jsonp-in-resteasy里面的方法：　　1、In your web.xml add:<context-param><param-name>resteasy.providers</param-name><param-value>org.jboss.resteasy.plugins.providers.jackson.JacksonJsonpInterceptor</param-value> </context-param>2、Make sure you have a WEB-INF...

天易38----sturts2+jsonp的使用

一：百度介绍：JSONP(JSON with Padding)是JSON的一种“使用模式”，可用于解决主流浏览器的跨域数据访问的问题。由于同源策略，一般来说位于server1.example.com 的网页无法与不是 server1.example.com的服务器沟通，而 HTML 的<script> 元素是一个例外。利用 <script> 元素的这个开放策略，网页可以得到从其他来源动态产生的 JSON 资料，而这种使用模式就是所谓的 JSONP。用 JSONP 抓到的资料并不是 JSON，而是任意的JavaScript，...

jquery中使用jsonp请求数据【代码】

//jquery部分的代码 1$.ajax({ 2 type:‘GET‘, 3 url:"http://192.168.0.224/jsonp.php",4 data:"",5 dataType:‘jsonp‘,6 jsonp: ‘callback‘,7 timeout: 2000,8 success:function(res){9 alert(res.info); 10 } 11 });//php部分的代码 1 <?php2header(‘Content-Type:text/json;charset=utf-8‘);3$str = array 4 (5 ‘...

十一、数据提取之Json与JsonPath【代码】【图】

JSON(JavaScript Object Notaion)是一种轻量级的数据交换格式，它使得人们很容易的进行阅读和编写。同时也方便了机器进行解析和生成，适用于进行数据交互的场景。　　官方文档：https://docs.python.org/3/library/json.html1、JSON　　json简单的说就是javascript中的对象和数组，这两种结构`对象`和`数组`，可以组合起来表示各种复杂的结构。　　（1）对象：对象在js中表示为{}括起来的内容，数据结构为{key:value,key:value,......

CORS 和 JSONP【代码】

跨域资源共享（CORS）它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。CORS（Cross-Origin Resource Sharing）跨域资源共享，定义了必须在访问跨域资源时，浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通，从而决定请求或响应是应该成功还是失败。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源...

学习 jsonp 解决跨域【代码】【图】

转载自http://www.cnblogs.com/qyf404/p/3868611.html1.起因js脚本做ajax异步调用的时候，直接请求普通文件存在跨域无权限访问的问题，不管你是静态页面、动态网页、web服务，只要是跨域请求，都无法成功；如果上句话没明白，我们直接看例子。有两个一模一样的项目，一个webApp01，一个webApp02，分别在两个tomcat里启动，一个端口是8080，一个端口是9080。即两个访问地址是http://localhost:8080/webApp01/ http://localhost:908...

NodeJS中常见异步接口定义（get、post、jsonp）【代码】

越来越多的人在使用nodeJS，作为一门服务端语言，我们不可避免的要写异步接口（ajax和jsonp）。再次强调ajax和jsonp是两个概念，但是由于jquery的封装，使这两种异步接口的调用方式，看起来比较相近，但在底层差别还是比较大的（本文只写服务端的实现）。　　为了便于讲解我使用express框架来运行我的demo。并分别讲解如何获取参数，并返回结果。本文相当于一个基础篇，只写了一些常见的应用场景。漏掉一些复杂的场景，还望提醒。一...

使用jsonp实现ajax跨域请求【代码】

Jsonp(JSON with Padding)是资料格式 json 的一种“使用模式”，可以让网页从别的网域获取资料。由于同源策略，一般来说位于 server1.example.com 的网页无法与不是 server1.example.com的服务器沟通，而 HTML 的<script> 元素是一个例外。利用 <script> 元素的这个开放策略，网页可以得到从其他来源动态产生的 JSON 资料，而这种使用模式就是所谓的 JSONP。用 JSONP 抓到的资料并不是 JSON，而是任意的JavaScript，用 JavaScript ...

jsonp【代码】

一言以蔽之，json返回的是一串数据；而jsonp返回的是脚本代码（包含一个函数调用）；JSON其实就是JavaScript中的一个对象，跟var obj={}在质上完全一样，只是在量上可以无限扩展。简单地讲，json其实就是JavaScript中的对象(Object)和数组(Array，其实也是对象)这倆好基友在那儿你嵌我我嵌你地套上n多层，以此模拟出许多复杂的数据结构。json易于人阅读和编写，也易于机器解析和生成，相对网络传输速率较高，功能型网站前后端往往要...

JSON - 最热教程

demjsonpython如何安装？简介dem指标的...基于JSON格式数据的简单jQuery幻灯片插...如何处理JSON中的特殊字符 node将geojson转shp返回给前端的实现方...nodejs更新package.json中的dependenci...怎样使用js实现前后台传输Json JavaScript使用两种方法实现url解析为j...php获取通过url的json数据，返回的是空...php判断json格式是否正确的方法 python 正则表达式与JSON-JSON

首页 / JSON / 同源策略&CORS跨域漏洞&JSONP跨域漏洞

同源策略&CORS跨域漏洞&JSONP跨域漏洞

内容导读

内容图文

同源策略介绍

CORS跨域漏洞

内容总结

内容备注

内容手机端

【同源策略&CORS跨域漏洞&JSONP跨域漏洞】教程文章相关的互联网学习教程文章

JSON - 最新教程

JSON - 最热教程