个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我有一个名为 action.php 的文件,它将执行一些操作。我想将其公开为纯 JSON 或 JSONP 输出。用户将使用如下 URL 调用它:
action.php?jsonp=callback
在我的 action.php 中我正在做这样的事情
$jsonp = isset $_GET["jsonp"] ? $_GET["jsonp"] : false;
$output = execute_action();
if ($jsonp) {
header('Content-Type: application/javascript');
printf("%s(%s)", $jsonp, json_encode($output));
} else {
header('Content-Type: application/json');
echo json_encode($output);
}
但这对我来说似乎不安全。如果传入 jsonp 回调参数,我应该验证还是转义?如果是这样,这将防止什么情况发生,我应该如何在 PHP 中执行此操作?
让我们假设这个 action.php 作为任何网站(包括我自己的网站)使用的服务暴露在互联网上。
编辑:为清楚起见,我的问题分为两部分:
您对保护假设的第 3 方网站免受有害 jsonp 注入(inject)的重要性的看法
现在假设我想使用我的服务保护第 3 方网站,我应该验证 jsonp 参数(即可能只允许某些字符?),还是应该转义 jsonp 输出(如果是这样,php 我应该使用什么功能?)
为了将答案标记为已接受,我想就这两个问题提供更多意见。
最佳答案
由于用户只接收他们自己发送的数据,因此不存在持久注入(inject)的真正风险。然而,攻击者仍然可以创建恶意链接并让客户端点击它,从而在客户端机器上执行代码。为避免攻击者创建这些恶意链接(例如允许从您的域中窃取 cookie)的可能性,您必须转义或验证回调参数。
您必须选择是只验证它还是转义它。在我看来,逃避没有真正的意义。通常我们转义 HTML 实体以防止攻击并允许 HTML 字符如 '<' 或 '>' 正确显示。但在这种情况下,诚实用户没有理由发送需要转义的字符……所以验证就足够了,而且更有意义。
怎么办?
如果您不想考虑注入(inject)问题,一个更安全的方法是为函数设置一个固定名称并让用户实现它。尽量避免名称冲突。
您还可以验证回调值。它必须是有效的 javascript 函数名称。您可以使用 PHP 函数 preg_match() http://de3.php.net/preg_match .
$jsonp = preg_match('/^[$A-Z_][0-9A-Z_$]*$/', $_GET["jsonp"]) ? $_GET["jsonp"] : false;
$output = execute_action();
if ($jsonp) {
header('Content-Type: application/javascript');
printf("%s(%s)", $jsonp, json_encode($output));
} else {
header('Content-Type: application/json');
echo json_encode($output);
}
我不是正则表达式方面的专家,所以我从 Validate a JavaScript function name 得到了这个不完整的示例模式.在那里检查正确的正则表达式。
关于php - 是否需要验证或转义 jsonp 回调字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20958218/
25
4
0
我有一个 javascript 从用户输入中读取的 URL。这是 JavaScript 代码的一部分: document.getElementById("Snd_Cont_AddrLnk_BG").v
我将如何在 javascript 中转义斜杠// var j = /^(ht|f)tp(s?)://([\w-]+\.)+[\w-]+(/[\w-./?%&=]*)?$;/ 最佳答案 使用 \ 进行转
在解析到这样的对象之前,我要转义 & 和 =: var obb = parseJSON('{"' + text.replace(/&/g, "\",\"").replace(/=/g,"\":\"")
我正在使用 freemarker 生成一个 freemarker 模板。但我需要一些方法来转义 freemarker 标签。 我将如何逃脱 标签或 ${expression} ? 最佳答案 您也可以使
我正在尝试匹配方括号,即 excel 中正则表达式 VBA 中的 []。我正在尝试使用以下代码,但它不起作用。 Public Function IsSpecial(s As String) As L
我通过设置将 PowerShell 添加到我的上下文菜单中: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\she
我需要转义 $,因此我需要将所有出现的 $ 替换为 \$ 所以我写了这个方法: // String#replaceAll(String regex, String replacement) publi
我正在格式化我的问题。非常遗憾。这是我的问题的摘要 在 JSP 中我有一个字段 我输入的值类似于“cQN==ujyRMdr+Qi8dO9Xm*eRun+ner==aLTyt?aKmGI” 实际行动
我有一个文本文件,其内容是C:\temp 我想要值 C:\temp替换为从变量定义的不同值 此外,将从批处理文件(windows .cmd)中调用 perl oneliner set CMDDIR=C
有没有办法使用 jTemplates 来转义 {$,这样我就可以在 onBlur 中使用内联 javascript,例如 telegraaf 在 processTemplate 之后得到这个: 谢谢
我正在尝试将 wget 与包含“#”符号的 url 一起使用。无论我做什么来逃避这个角色,它都不起作用。我用过\、' 和 "。但它们都不起作用。有人有什么建议吗? 谢谢! 最佳答案 如果您真的想让它有
我想知道如何从数据库中回显带有 $ 符号的字符串。此时,数据库中的值“Buy one for $5.00”将转换为“Buy one for .00”。 假设该字段的名称为 title,值为 Buy o
我在 mySQL 中有一个查询,旨在返回我们网站上使用的搜索词。是的,这是一个标签云,是的,我知道它是一条鲻鱼 :) 我们有一个管理页面,管理员可以在其中查看搜索词并选择将它们排除在云端之外。这些词进
我有一个文本区域。在其点击事件上。我将其插入数据库中,然后将其显示为元素列表中的第一个元素。问题是。如果我输入""在textarea中,jquery无法正确显示。它显示为空。代码是 var note
我想知道是否有某种字符串前缀,这样 cstring 就可以按原样使用,而不需要我转义所有字符。我不是 100% 确定。我记得一些关于在字符串前加上 @ 符号( char str[] = @"some\
这个问题在这里已经有了答案: How do I escape curly-brace ({}) characters in a string while using .format (or an f
C/C++编译器如何操作源代码中的转义字符["\"]?如何编写用于处理该字符的编译器语法?遇到那个字符后,编译器会做什么? 最佳答案 大多数编译器分为几个部分:编译器前端称为 lexical anal
我计划接受用户输入,并将其插入到一个 div 中 user_content 一个用户提供内容,另一个用户接收内容。 我认为我会遵循的建议来自 https://www.owasp.org/index.p
我有一个这种形式的 url - http:\\/\\/en.wikipedia.org\\/wiki\\/The_Truman_Show。我怎样才能使它成为正常的网址。我试过使用 urllib.unq
我有一个带有转义数据的字符串 escaped_data = '\\x50\\x51' print escaped_data # gives '\x50\x51' 什么 Python 函数会对其进行反转
我是一名优秀的程序员,十分优秀!