Ich habe Ссылка gelesen, das eine sicherere und strengere Teilmenge von JSON-P angibt.
Das kritischste Stück dieses Vorschlags ist, dass Browser-Anbieter müssen Beginne, diese Regel für das Skript zu erzwingen Tags, die JSON-P empfangen Inhalt und werfen Fehler (oder zumindest Verarbeitung stoppen) bei Nichtkonformität JSON-P-Inhalt.
Meine Frage ist: Ist diese Teilmenge von JSON-P bereits implementierbar?
Nein, es gibt derzeit keine Möglichkeit, das vorgeschlagene Verfahren zu implementieren / durchzusetzen, da Änderungen an der Verarbeitung des script -Tags durch Browser erforderlich sind. Wenn Sie den Vorschlag wirklich implementieren möchten, können Sie auf Ihrem Server einen Proxy-Dienst erstellen, der die JSONP-Überprüfung für Sie durchführt.
Das einzige wirkliche Problem, das durch dieses Angebot gelöst werden soll, besteht darin, JSONP-Anfragen für Verbraucher von JSONP-fähigen Diensten sicherer zu machen. Ich glaube jedoch, dass dieses Sicherheitsproblem kein Thema ist.
Solange Webdienst-Consumer vertrauenswürdige JSONP-Dienste verwenden, gibt es keine JSONP-spezifische Sicherheitsbedrohung. Wenn Sie meinen, dass der Service, den Sie konsumieren, nicht vertrauenswürdig ist, verwenden Sie ihn einfach nicht. Sie können einen alternativen Dienst finden oder den nicht vertrauenswürdigen Dienst über Ihren eigenen Server ausführen, um die Antwort zu bereinigen.
Die gleichen Sicherheitslücken, die für JSONP existieren, gibt es auch für gewöhnliche script -Tags. Die Leute verlinken die JavaScript-Bibliotheken von Drittanbietern die ganze Zeit mit wenigen Problemen. Als Beispiel verwenden Menschen überall die Google-Kopie von jQuery . Google könnte diese Datei leicht vergiften und Benutzerdaten von jeder Webseite fischen, die diese Bibliothek verwendet.
Die Moral der Geschichte: Verwenden Sie nur vertrauenswürdige APIs / Dienste
Tags und Links javascript json web-services jsonp