JSONP安全攻防技术

JSONP全称是JSONwithPadding,是基于JSON格式的为解决跨域请求资源而产生的解决方案。它的基本原理是利用HTML的元素标签,远程调用JSON文件来实现数据传递。如果想在a.com域下获取b.com下的JSON数据(getUsers.JSON):那么可以首先通过JSONP的“Padding”这个getUsers.JSON输出为:对于实际应用过程中callback的名称,后台实现是动态输出的。上面例子用PHP实现如下:然后在a.com使用进行远程调用,在jQuery中可以直接这样调用:然而,安全问题一直伴随着业务发展,JSONP同样带来各种安全问题。本文就将梳