(其实json劫持和jsonNP 劫持属于CSRF跨站请求伪造)的攻击范畴,解决方法和CSRF一样
定义:构造带有jsonp接口的恶意页面发给用户点击,从而将用户的敏感信息通过jsonp接口传输到攻击者服务器
json语法规则:数据在名称/值对中、数据由逗号分隔、花括号保存对象、方括号保存数据组
JSONP : JSON with Padding•是基于 JSON 格式的为解决跨域请求资源而产生的解决方案,由于同源策略,JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对领象,但也在一定程度上限制了一些前端功能的实现,一般来说位于 server1example.com 的网页无法与不是 server1.example.com 的服务器沟通,而 HTML的sscript元素是一个例外。利用
b)"alert(1);x='"
c) "> < img src=x οnerrοr=alert(1)>
d)''>