如何提出不可伪造的跨域请求
||
我需要从ѭ0到ѭ1的服务器端获取一些数据。为了向“ 0”请求检索数据,需要存在与“ 0”域相关的cookie。我假设因此需要使用JSONP在JavaScript中执行此操作?
我的想法是使用JavaScript向
B
发出请求,然后捕获结果并将其粘贴在A
域上,以便后续对ѭ5requests的请求都将cookie与返回的数据一起携带(对A
进行两次请求无关紧要将信息获取到A
的服务器端)。除了可以完全破解之外,这可以正常工作。
数据本身不是秘密,但我需要防止请求伪造或Site A
上的人手动调用JSONP回调函数,或手动对A
cookie进行设置以防止数据被盗用或伪造。另外,黑客还有其他漏洞吗?这也需要预防!
我能想到的唯一方法是:
Site A
生成一个随机令牌并将其存储在会话中。然后,将此令牌附加到Site B
的JSONP请求的查询字符串中。 Site B
然后作出响应,但使用数字签名对常规数据以及令牌进行加密。然后,1ѭ将这个值粘贴到A
的cookie中。在对“ 5”的下一个请求中,“ 5”的服务器端可以捕获cookie,获取其值,对其解密,检查令牌,如果它与会话中的值匹配,则信任其余数据。
听起来合理吗?有更容易的方法吗?我的目标是减少5英镑时的复杂性。
谢谢
没有找到相关结果
已邀请:
2 个回复
脖呐
死簇