jsonp跨域时如何解决xss漏洞

解决安全性问题,主要涉及两点:

(1) 前后端约定jsonp请求的js的回调函数名

(2) 服务器端指定返回的数据格式为json

 

以下是事例代码:

1. 前端js发起ajax跨域jsonp请求:

jsonp跨域时如何解决xss漏洞
$.ajax({
    type: "GET",
    url: "http://xxx.com/getData",
    dataType: "jsonp", 
    jsonp: "callbackParam", //自定义callback参数名称
    jsonpCallback:"getData", //自定义callback的js函数名
    success: function(data) {
        ...
    }
});
jsonp跨域时如何解决xss漏洞

2. 服务器端返回数据:

jsonp跨域时如何解决xss漏洞
public function getData(){
    //指定返回的数据格式为json
    header("Content-type: application/json");

    $callback = $this->_param(‘callbackParam‘);

    //约定只接受某个js回调函数名
    if($callback != ‘getData‘) {
        $callback = ‘getData‘;
    }

    $data = array(...);

    echo $callback.‘(‘.json_encode($data).‘)‘;
    exit;
}
jsonp跨域时如何解决xss漏洞

jsonp跨域时如何解决xss漏洞

上一篇:【菜鸟学php】用菜鸟的眼光浅谈php上传文件


下一篇:GBase8d的模式(schema)管理(二)