JSONP kullanmak güvenli mi?
JSONP kullanırken dikkat edilmesi gereken herhangi bir güvenlik sorunu vardır.
CEVAP
Güncelleme: JSONP etki alanları arası istekleri. yapmak için ortak bir hack. Modern tarayıcılar şimdi Çapraz Kökeni Kaynak Paylaşımı ve IE8 benzer XDomainRequest. Daha fazla bilgi için http://enable-cors.org/ bkz.
JSONP sadece bir geri arama kullanmak için izin veren bir komut dosyası vardır. Ancak Cross-site request forgery (CSRF) farkında olmalıdır.
Komut dosyası ve sunucu kontrol sürece, bir komut dosyası eklemek artık daha güvensiz JSONP değil. Kullanıcılar giriş için hassas veri döndüren JSONP hizmet veren bir yer varsa. Kötü niyetli bir site service (kullanıcı siteye giriş yapmış olduğunu umarak) için bir istek göndermek ve veri almasını sağlayabilir. Bu hizmet talep yönlendirme kontrol edebilirsiniz, ama Olası yönlendirme kullanarak flash (teşekkürler Chris Moschini) parodi.
Hayal bu senaryosu: - Bir kullanıcı internet bankacılığı hesabına kaydeder. Kullanıcı bir oturum cookie tarayıcı. Bu site kullanıcı ve hesapları hakkında hassas bilgi ile jsonp bir hizmeti var. - Diğer sitelerin kullanıcı oturum olduğunu bilemem. ama kaba bir tahmin yapmak ve jsonp hizmete erişmek için deneyebilirsiniz. Kullanıcı oturum çerezi, tarayıcı bir yanıt alacak ve kendi sunucusu üzerinde hiç bir ajax post hassas verileri kurtarmak için yapıyor site engel yok.
Güncelleme 28 Haziran 2012: Eğer CSRF saldırılarına karşı korumak için bir güvenlik uzmanı tarafından: derinlik blog yazısı bunu okumalısın http://erlend.oftedal.no/blog/?blogid=130
Nasıl bir WordPress kullanmak yakalama...
Nasıl güvenli bir şekilde Java bir diz...
parsererror bir WordPress kullanmak so...
Bir kolon dostu URL kullanmak için güv...
Nasıl veri-* ASP.NET MVC öznitelikleri...