保护RESTful API免受JSONP数据窃取

时间:2015-04-21 10:03:14

标签: javascript json security rest jsonp

正如JSONP中所定义的,恶意网站可能会通过添加脚本标记攻击好网站:

<script type="application/javascript"
    src="http://server.example.com/Users/1234?jsonp=parseResponse">
</script>

如果被攻击用户已授权到好网站,它将从好网站访问用户机密数据。据我所知,脚本标记只能执行GET请求,而不能执行POST请求。

问题:

  1. 如果想要从任何JSONP窃听中保护我的RESTful API,是否足以将所有GET请求替换为POST请求?
  2. 我想这并不能防止其他XSRF攻击漏洞。如果我有一个POST / PUT / DELETE / OPTIONS-only API,我还会考虑哪些攻击?

    3. PS欢迎评论中提供任何有价值的链接。

0 个答案:

没有答案
相关问题
最新问题