SORU
5 Mart 2009, PERŞEMBE


JSONP kullanmak güvenli mi?

JSONP kullanırken dikkat edilmesi gereken herhangi bir güvenlik sorunu vardır.

CEVAP
5 Mart 2009, PERŞEMBE


Güncelleme: JSONP etki alanları arası istekleri. yapmak için ortak bir hack. Modern tarayıcılar şimdi Çapraz Kökeni Kaynak Paylaşımı ve IE8 benzer XDomainRequest. Daha fazla bilgi için http://enable-cors.org/ bkz.

JSONP sadece bir geri arama kullanmak için izin veren bir komut dosyası vardır. Ancak Cross-site request forgery (CSRF) farkında olmalıdır.

Komut dosyası ve sunucu kontrol sürece, bir komut dosyası eklemek artık daha güvensiz JSONP değil. Kullanıcılar giriş için hassas veri döndüren JSONP hizmet veren bir yer varsa. Kötü niyetli bir site service (kullanıcı siteye giriş yapmış olduğunu umarak) için bir istek göndermek ve veri almasını sağlayabilir. Bu hizmet talep yönlendirme kontrol edebilirsiniz, ama Olası yönlendirme kullanarak flash (teşekkürler Chris Moschini) parodi.

Hayal bu senaryosu: - Bir kullanıcı internet bankacılığı hesabına kaydeder. Kullanıcı bir oturum cookie tarayıcı. Bu site kullanıcı ve hesapları hakkında hassas bilgi ile jsonp bir hizmeti var. - Diğer sitelerin kullanıcı oturum olduğunu bilemem. ama kaba bir tahmin yapmak ve jsonp hizmete erişmek için deneyebilirsiniz. Kullanıcı oturum çerezi, tarayıcı bir yanıt alacak ve kendi sunucusu üzerinde hiç bir ajax post hassas verileri kurtarmak için yapıyor site engel yok.

Güncelleme 28 Haziran 2012: Eğer CSRF saldırılarına karşı korumak için bir güvenlik uzmanı tarafından: derinlik blog yazısı bunu okumalısın http://erlend.oftedal.no/blog/?blogid=130

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Feel The Electricity!

    Feel The Ele

    20 ŞUBAT 2010
  • InfinityWard

    InfinityWard

    19 EYLÜL 2006
  • Rickymon Tero

    Rickymon Ter

    1 Ocak 2007