jsonp类型的接口调用中如何做安全防护

说到jsonp安全性的防范,我们可以从以下几点出发:1、 防止callback参数意外截断js代码,特殊字符单引号双引号,换行符均存在风险;2、 防止callback参数恶意添加标签(如script),造成XSS漏洞;3、 防止跨域请求滥用,阻止非法站点恶意调用。

JSONP

其中第三个主流的解决措施可以通过来源refer白名单匹配,以及结合token机制来限制。

而前两点,传统的做法分为以下几种:

1、 白名单原则,通过正则表达式来控制,如^[a-zA-Z0-9]+$来控制仅允许字母与数字,哈,其它的自己看着写;

2、 reponse中添加header头部,强制指定MIME类型,避免按HTML方式解析,防止XSS漏洞。这似乎是个很完美的解决方案。但是十分诡异的是,在某些版本的火狐浏览器下,直接访问MIME类型为JAVASCRIPT的请求时,浏览器仍然会按照HTML解析。或许是该浏览器设计的缺陷,但它忽略了我们设置的header。但目前而言无法保证所有浏览器严格按照MIME类型解析,将来可以成为标配。

相关推荐:
背景信息 2018年12月04日,Kubernetes官方发布安全通告,披露了一个Kubernetes API服务器特权提升漏洞CVE-2018-1002105。 漏洞描述: 通过特制请求,未经身份验证的恶意用户可以通过Kubernetes API服务器与后端服务 …
背景信息: 2019年5月14日,监测到微软发布了紧急修复补丁,CVE-2019-0708的安全公告显示,黑客可以通过Remote Desktop Service(远程桌面服务)向目标设备发送特制的请求,可以在不需要用户干预的情况下远程执行任 …
升级了macOS Sierra (10.12)版本后在“安全性与隐私”中不再有“任何来源”选项,如下图: 这可麻烦了,有些第三方的应用用不了了,若我们想要装却要允许任何来源的朋友就不知该怎么办了。 其实只要用我们万能的终端,这 …
GPhone的模拟器有个特有的号码:15555218135,这个就类似我们实体手机的SIM卡号码啦。 要实现拨号,用手机?当然不行! 更简单,三步: 1.打开终端 2.连接: telnet localhost 5554(5554是你打开模拟器后上面显示的 …
其实这个问题从jdk9之后开始就会存在,之后的版本将不再提供tools.jar和dt.jar了,也不需要在classpath里面配置这些jar了,那么怎么配是最科学的? 配置可参考这样: JAVA_HOME=jdk安装路径 JRE_HOME=jre安装路径 PA …
拿起手机扫一扫即可带走我!