@风铃
1年前 提问
1个回答

怎么防御 JSONP 劫持漏洞

delay
1年前

防御JSONP劫持漏洞办法如下:

  • 严格安全的实现CSRF方式调用JSON文件:限制Referer、部署一次性Token等;

  • 严格安装JSON格式标准输出Content-Type及编码(Content-Type:application/jison;charset=utf-8);

  • 严格过滤callback函数名及JSON里数据的输出;

  • 严格限制对JSONP输出callback 函数名的长度(如防御flash输出的方法)。

  • 安装或启用防火墙:防火墙可以通过在恶意流量进入我们的计算机之前阻止它来防止某些类型的感染。一些操作系统包括防火墙;如果我们使用的操作系统包含一个防火墙,请启用它。