我将jsonp脚本从外部网站拉入我的一个网页。
服务器端和客户端可能发生的最坏情况是什么?
到目前为止我最糟糕的是:
server-side - nothing.
client-side - infinite-loop.
他们可以使用哪些可能的攻击?
答案 0 :(得分:5)
如果您不相信您正在查询jsonp的网址,他们可以在您的网页上执行他们想要的任何。它是XSS(Cross Site Scripting)最糟糕的噩梦。这就是你要找的东西吗?
答案 1 :(得分:0)
由于代码可以对DOM执行任何操作,因此可以(例如)发布任意数量的虚假表单。所有这些都将使您的服务器完成所有必要的安全令牌,因此基本上它可以执行任何登录用户可以执行的操作。
如果您不信任JSONP服务,则绝对不应该使用它。