В нашем веб-приложении мы столкнулись с ситуацией, когда нам необходимо выполнять междоменные вызовы AJAX из одного домена, который мы полностью контролируем, в другой домен, который мы полностью контролируем.Я искал лучшее решение, и на ум приходят два локальных файловых прокси (локальных файла с использованием php :: fopen) или jquery / JSONP.
Когда я смотрю в Интернете, я вижу людейобычно говорят о том, как опасно использовать JSONP, потому что кто-то может внедрить в него вредоносные данные.Дилемма состоит в том, что большинство аргументов против этого, кажется, не содержат много воды, поэтому я прихожу сюда, чтобы попросить Стек дать разъяснения.
Каковы конкретные векторы атаки, которые будут открыты междоменной областью JSONP?
Насколько я понимаю, единственным вектором для JSONP является точно такой же вектор, которыйоткрылся включением тега <script> на вашем сайте, src которого является любым сайтом , который не контролируется вами: чтобы они могли стать вредоносными и начать обрабатывать пользовательские сеансы / файлы cookie / данные.Если это так, то может показаться, что дело не в протоколе (JSONP), а в источнике , из которого собираются данные.
Потому что, будь то прокси на стороне сервера, тег <script> или ajax / JSONP, есть риск, что я размещу на своей странице чужой контент, и они могут начать обрабатывать пользовательские сеансы, если ония чувствовал себя обязанным (таким образом, это именно то, что Google Analytics делает с помощью тега скрипта).
Многие векторы, которые я слышу онлайн, зависят от неправильной проверки пользовательских форм и данных.Например, JSONP используется для извлечения некоторого файла, который помещает данные в форму, а затем форма отправляется для вставки базы данных.Если данные из этой формы являются доверенными, поскольку они получены из надежного источника (данные JSONP) и вставлены без проверки, то опять-таки это не JSONP по ошибке, а скорее неправильно проверенный ввод пользователя.Пользователь мог сделать точно такие же изменения в этой форме, используя Firebug, но в последний раз я проверял, что никто не называет Firebug вектором безопасности.
Последний элемент - это представление о том, что при использовании прокси на стороне сервера большевозможность фильтровать результаты перед передачей их клиенту.Тем не менее, будь то PHP или Javascript, я мог бы отфильтровать результаты, чтобы удалить такие вещи, как onclick или iframe.Конечно, кто-то на стороне клиента может изменить мою функцию javascript, чтобы удалить фильтрацию, но фильтрация будет влиять только на их конкретный опыт клиента и не будет изменяться для других пользователей, что предотвращает постоянную многопользовательскую XSS-атаку.
Очевидно, что у прокси на стороне сервера есть некоторые преимущества, поскольку это упростит регистрацию потенциальных XSS-атак, но с точки зрения предотвращения самой атаки, как PHP, так и Javascript, похоже, имеют адекватные утилиты.В некотором смысле кажется, что JSONP на самом деле более безопасен, чем простой тег <script>, потому что по крайней мере с JSONP результат проходит через функцию, что означает его некоторую фильтрацию, а не просто полное доверие, как это происходит с <script>.
Есть ли риск, что я пропущу или пропущу?Если я правильно понимаю проблему, то при использовании JSONP не будет угрозы безопасности для включения содержимого файла, которому мы доверяем, из источника, которому мы доверяем.Это точная оценка?
РЕШЕНИЕ
Если оба конца являются доверенными, в JSONP нет никакой опасности (в основном это просто * 1035)* тег).
Оба скрипта / JSONP содержат одинаковые уязвимости, поскольку они выполняются автоматически, а не просто как данные.Использование прокси-сервера на стороне сервера означает, что междоменный возврат передается как данные и может быть отфильтрован на наличие вредоносного содержимого.Если кросс-домен полностью доверенный, то JSONP / SCRIPT безопасен, если есть подозрение на риск, пропустите его через прокси-фильтр.