安全开发从反射XSS防护入门 [复制链接]

作为一个资深的、又比较老的开发人员至少也得碰到被别人进行JavaScript攻击过的情景。

JSONP导致被攻击的情况

jsonp是一种前端ajax请求，后端支持一下就可以达到跨域的情况；当然这个只能支持Get。那么这个攻击是怎么由来的呢？我们看一下后端的代码：

?php$callback=$_GET[callback]....其它业务逻辑代码return$callback.({\test\:\test\});

前台访问