前言

写写简单的漏洞原理小知识科普，一来学习一些新的知识提升一下自己；二来巩固复习一下已有知识，温故知新；三来以后查阅起来也比较方便。

JSONP出现的前因

众所周知，为了防止不同域之间对页面的互相涂改，于是有了同源策略。凡事都有利弊，同源策略在保护浏览器客户端安全的同时限制了跨域资源的访问，跨域的数据传输产生一些不方便。于是智慧的劳动人民想出了JSONP这种方式来进行跨域间的数据传递。但也正因JSONP跨域传输的特质，绕过了同源策略产生了一定的安全问题。

简单了解一下JSONP

JSON是一种数据格式，在很多语言里都得到了支持，在一定的场合下为数据传输提供了很大的便利。而JSONP呢，全程是 JSON with Padding。字面意思，在原有的JSON上填充了一些东西。以下代码是一段JSONP的使用示例。

<body>
 <script>
 function callback(json) {
  alert(json.username);
 }

 var s = document.createElement('script');
 s.src = 'http://127.0.0.1/test.json';
 document.body.appendChild(s);
 </script>
</body>


#test.json内容如下
callback({ username: "zhhhy" })

image.png

JSONP跨域能力的来源

根据上述例子，可以体会到JSONP并不是种数据格式，而是为了进行跨域传输的一种特殊编码方式。上述例子并没有体现出跨域的能力。先来分析一下整个程序流程，就可以理解为什么JSONP具有跨域的超能力。
代码很简单不难理解，执行了一段JS代码，作用是创建一个<script>标签，并且设置src属性的值为目标文件的地址，这样就会对目标地址发起一次请求。而请求得到的结果则是test.json的内容。JS代码中还定义了一个callback函数。以至于返回的内容调用了callback函数，而JSON字符串被作为参数传入到callback函数之中，所以就将属性值以弹窗的方式显示。
根据上述流程，不难想到，<script>是实现跨域的关键点。由于<script>标签的开放性，以至于可以不遵循同源策略，类似的标签还有很多。只要能进行跨域，也就是自己的服务器可以访问到其他服务器里的JSON资源，达到一种信息泄露的效果。

所有带src或href属性的标签以及部分其他标签可以跨域:
<script src="..."></script>
<img src="...">
<video src="..."></video>
<audio src="..."></audio>
<embed src="...">
<frame src="...">
<iframe src="..."></iframe>
<link rel="stylesheet" href="...">
<applet code="..."></applet>
<object data="..." ></object>

JSONP跨域劫持的危害

上文以一个小例子简单描述了JSONP的跨域能力来源，还提及了JSONP可以达成信息泄露的效果。仔细思考一番。个人认为，JSONP跨域劫持是CSRF的一种特殊利用方式。CSRF最大的特点就是伪装成客户端合法用户进行一些越权操作，比如任意创建管理员账号，发布文章等。其中最大的利用限制在于需要和正常用户进行交互，也就是诱使用户访问构造好的页面或者完成一些操作。JSONP劫持也是如此，而CSRF在JSONP劫持的加持下，可以绕过token值的校验。P神给出了一个新浪的例子P神给出了一个新浪的例子。通过第一步JSONP劫持泄露出CSRF_token值，由于没有验证Refere头以至于CSRF攻击成功，可以未授权发布文章。

JSONP防御

既然JSONP是CSRF的一种利用方式，那么使用CSRF的防御手段自然也就能防御。比如验证token值和验证refere头部，如果验证机制处理不当，依旧还是会出现一些问题。可考虑增加验证码等中间操作，不过会降低用户体验性。最主要还是增加用户的安全意识吧，不要随意点不明连接。

参考链接

https://www.jianshu.com/p/cc6ae9ad2ce6
https://zhengbao.wang/jsonp%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E/#more
https://www.cnblogs.com/52php/p/5677775.html
https://www.secpulse.com/archives/74691.html
https://www.anquanke.com/post/id/97671