JSONP还能用吗?为什么现在都说是安全风险?
最近在重构一个老项目,发现它还在用 JSONP 跨域请求第三方数据。我查了下资料,说 JSONP 有 XSS 风险,但又没太明白具体怎么出问题的。我自己试着重构成 fetch + CORS,但对方接口不支持 OPTIONS 预检,直接被浏览器拦了。
现在纠结要不要继续用 JSONP,毕竟功能是能跑的。下面是我现在用的 React 代码:
useEffect(() => {
const script = document.createElement('script');
script.src = <code>https://api.example.com/data?callback=handleResponse</code>;
document.body.appendChild(script);
window.handleResponse = (data) => {
setData(data);
};
return () => {
document.body.removeChild(script);
delete window.handleResponse;
};
}, []);这种写法到底哪里不安全?有没有更稳妥的替代方案?
回答
浏览
JSONP跨域请求在Vue中怎么用?一直报错
我在Vue项目里想用JSONP请求第三方接口,但总是失败,浏览器控制台提示“Uncaught ReferenceError: callback is not defined”。我试过动态创建scrip...
回答
浏览
JSONP跨域调用时如何防范第三方注入恶意脚本导致XSS?
我在用JSONP做跨域请求时突然意识到,如果第三方接口返回恶意代码,岂不是能直接在页面执行?比如我这样调用: const script = document.createElement('script...
回答
浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
回答
浏览
前端如何安全地处理用户输入避免XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面,结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify,但不确定是不是用对了,比如下面这样写安全吗? const ...
回答
浏览
前端安全审计中如何评估CSS注入风险?
最近在做项目安全自查,发现用户能自定义主题色,但担心CSS注入问题。我用了类似下面的写法,这样安全吗? .user-theme { --primary-color: ${userInput}; bac...
回答
浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
回答
浏览
安全需求阶段前端要做什么?
我们团队刚开始引入安全开发生命周期(SDL),现在卡在“安全需求”这一步。作为前端,我不太清楚自己该提哪些具体的安全需求,比如是不是所有用户输入都要过滤?还是说只要后端处理就行? 我试过在表单提交前用...
回答
浏览
安全头配置后为什么检测工具还是报缺失?
我按照文档在 Nginx 里加了 CSP、X-Frame-Options 这些安全头,本地测试 headers 看起来都返回了,但用 SecurityHeaders.com 检测还是说 Missing...
回答
浏览
Nessus扫描报前端JS有安全风险,这代码真有问题吗?
最近用Nessus扫我们项目,说前端这段JS存在“客户端脚本注入”风险,但我只是在做URL参数解析啊,这算漏洞吗? 我试过对参数做encodeURIComponent,但Nessus还是报同样的问题,...
回答
浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...