详解JSON和JSONP劫持以及解决方法

下面是详解JSON和JSONP劫持及解决方法的攻略。

什么是JSON和JSONP

JSON

JSON (JavaScript Object Notation) 是一种轻量级的数据交换格式,其格式简单明了,易于阅读和编写,同时也易于机器解析和生成。JSON是一种完全独立于编程语言的数据格式,它的性能优越,能够处理庞大的数据量。

JSON数据格式示例:

{
    "name": "张三",
    "age": 20,
    "address": {
        "city": "北京",
        "street": "长安街",
        "zipcode": "100000"
    },
    "hobby": ["看电影", "旅游"]
}

JSONP

JSONP (JSON with Padding) 是一种解决跨域的方案,在页面上加载一个 JS 文件,通过 Script 标签引用,该 JS 文件返回一个回调函数,回调函数的参数就是我们想要获取的数据,回调函数会在页面中自动执行。因为 Script 标签不会被同源策略限制,所以可返回任意数据。

JSONP示例:
假设我们需要从其他网站获取数据,并在自己的网站中显示。通过 JSONP 可以实现该功能。

假设有一个返回数据的 API,地址为 http://example.com/api.php。JSONP 请求的地址应该是 http://example.com/api.php?callback=showData,其中 callback 参数是约定好的回调参数,showData 是在前端定义好的回调函数名(可自定义),返回的数据应该以 showData({data}) 的形式返回。

前端代码示例:

<script>
function showData(data) {
  console.log(data);
}
</script>
<script src="http://example.com/api.php?callback=showData"></script>

JSONP劫持

过程:黑客在第三方系统上注入代码,在第三方返回 JSONP 数据时,篡改回调函数中的数据。

举例:假设键名为 "data",键值为 "12345" 的JSONP数据被获取到之后,黑客通过修改第三方系统上的注入代码使得回调函数中的数据被改为了键名 "data" 而键值被修改为 "54321"。当我们在前端通过回调函数调用data时,得到的数据就不是我们期望的“12345”,而是被篡改后的“54321”。

解决办法:避免使用约定好的callback参数作为请求参数,自定义callback名。同时,在前端通过正则表达式或其他方法判断返回数据是否符合JSON格式,不满足则不执行回调函数,避免执行黑客篡改后的代码。以下代码示例:

<script>
function myFunc(data) {
    if (/^[{\[]/.test(data)) { // 检查返回数据是否是符合JSON格式的数据,只有符合才执行回调函数
        console.log(data);
    }
}
</script>
<script src="http://example.com/api.php?callback=myFunc"></script>

JSON劫持

过程:黑客在第三方系统返回JSON格式数据时,篡改数据内容,达到攻击目的。

举例:假设第三方接口返回的数据为:

{
  "username": "test",
  "isVIP": false
}

黑客通过篡改第三方系统中的数据,将 "isVIP" 的值改为 true,攻击用户,并获得其VIP权益。

解决办法:加密校验,防篡改。对数据进行加密,在客户端解密校验,当数据被篡改时,校验失败,不能正常使用数据。

以下是加密解密代码示例:

// 对数据进行加密
function enCode(str) {
    return window.btoa(str); // 使用base64加密
}

// 对数据进行解密
function deCode(str) {
    return window.atob(str); // 解密base64字符串
}

// 简单的校验数据是否被篡改的方法
function checkData(data, code) {
    if (enCode(data) === code) { // 当加密后的校验值与传来的校验码一致,说明数据未被篡改
        console.log(data);
    }
}

参考文章:https://blog.csdn.net/huang_xw/article/details/69853721 和 https://cloud.tencent.com/developer/article/1186095

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:详解JSON和JSONP劫持以及解决方法 - Python技术站

(0)
上一篇 2023年5月27日
下一篇 2023年5月27日

相关文章

  • JS实现支持Ajax验证的表单插件

    下面是“JS实现支持Ajax验证的表单插件”的完整攻略。 目录 简介 实现步骤 第一步:引入jQuery库 第二步:创建表单 第三步:定义验证规则 第四步:编写Ajax请求 第五步:表单提交事件 示例说明 示例1:验证用户名是否已存在 示例2:验证邮箱格式是否正确 简介 本攻略将要讲解如何使用JavaScript实现支持Ajax验证的表单插件。Ajax验证是…

    JavaScript 2023年6月10日
    00
  • 理解javascript函数式编程中的闭包(closure)

    理解 javascript 函数式编程中的闭包(closure)可以分为以下几个步骤: 什么是闭包? 闭包是指一个函数访问了自己定义的外部函数的作用域中的变量。简单来说,就是在一个函数内部可以访问另一个函数作用域中的变量。在 JavaScript 中,当一个函数定义在另一个函数内部时,就会形成一个闭包。 闭包的使用 保存私有变量 闭包可以用来定义私有变量。这…

    JavaScript 2023年6月10日
    00
  • DOM节点删除函数removeChild()用法实例

    当你需要从HTML中删除一个或多个节点时,可以使用JavaScript中的removeChild()函数。下面是使用removeChild()函数的详细攻略。 什么是removeChild()函数? removeChild()函数是访问HTML DOM节点的JavaScript方法之一。它可用于删除HTML节点和其子节点,从而实现从HTML文档中删除DOM元…

    JavaScript 2023年6月10日
    00
  • JS使用正则表达式过滤多个词语并替换为相同长度星号的方法

    使用正则表达式过滤多个词语并替换为相同长度星号是实现信息过滤和敏感词检测的重要方法。下面是具体步骤: 定义敏感词列表 首先,需要定义敏感词列表。可以将敏感词保存在服务器数据库或者直接写在JavaScript代码中。 const badWords = [‘bad’, ‘worse’, ‘worst’]; 在此示例中,敏感词列表包含三个单词:”bad”、”wor…

    JavaScript 2023年6月10日
    00
  • C#监测IPv4v6网速及流量的实例代码

    先给出完整的攻略目录,方便理清思路: 前置知识:C#网络库的使用 监测IPv4v6网速及流量的实现方法 示例1:监测本机流量并将数据保存至文件 示例2:通过Ping测试监测网络延迟 下面我就从这个目录入手,逐一给出详细的说明: 前置知识:C#网络库的使用 在监测网速和流量时,我们需要使用C#的网络库来进行网络通信相关操作。C#网络库主要包括Socket、We…

    JavaScript 2023年5月28日
    00
  • 深入理解JS中attribute和property的区别

    当我们在使用JavaScript处理HTML时,常常涉及到元素的属性(Attribute)和属性值(property)。在一些情况下,这两者的方式使用会存在一些细微的区别。下面,我将为您详细讲解“深入理解JS中attribute和property的区别”的完整攻略。 Attribute和Property的定义 首先,我们需要明确attribute和prope…

    JavaScript 2023年6月10日
    00
  • 浅谈js多维数组和hash数组定义和使用

    针对“浅谈js多维数组和hash数组定义和使用”的话题,我来进行详细讲解。 多维数组 JavaScript中的多维数组,其实就是由多个一维数组组成的数组。我们可以使用一维数组来构建多维数组,比如: const multiArr = [ // 二维数组 [1, 2, 3], [4, 5, 6], [7, 8, 9] ]; const threeDArr = […

    JavaScript 2023年5月27日
    00
  • JavaScript的parseInt 取整使用

    下面是关于JavaScript中parseInt方法的取整使用的完整攻略: 什么是 parseInt 方法 parseInt 方法是 JavaScript 内置的一个函数,用来将一个字符串转换成整数(Number)。 它的语法格式如下: parseInt(string, radix) 其中: string:需要转换成整数的字符串。 radix:可选,表示转换…

    JavaScript 2023年5月28日
    00
合作推广
合作推广
分享本页
返回顶部