【网络安全】JSONP劫持原理及攻击实战
未经许可,不得转载。
文章目录
- JSONP简介
- JSONP工作原理
- JSONP劫持
- Callback可定义问题
JSONP简介
JSONP(JavaScript Object Notation Padding)是一种用于绕过浏览器同源策略限制的技术,使得网页可以从不同域名的服务器请求数据。由于浏览器的同源策略限制,网页通常只能向与其同源的服务器发送请求。然而,<script> 标签不受同源策略的限制,可以从任何域加载和执行脚本。JSONP 利用这一特性,通过动态添加 <script> 标签来实现跨域数据请求。
JSONP工作原理
ice.com 在需要获取跨域数据时,动态创建一个 <script> 标签,并指定一个包含回调函数名称的 URL 作为其 src 属性。例如:
<