我有一个安全的网站,要求用户进行身份验证,并希望从我的API通过JSON-P返回敏感数据到客户端,以便我可以避开ajax跨域的问题。我拥有客户端和服务器,所以我不关心客户端的安全性(即从服务器读取恶意的js)。JSON-P与敏感信息的使用
我一直在研究如何保护JSON-P以防止跨站点请求伪造,但一直未能清楚地确定检查Referer是否是保护数据安全的方法。据我了解,在这种情况下Referer标题不能被欺骗,因为调用将来自javascript,并且标题不能更改。这是一个正确的假设吗?
我想知道为什么或为什么不检查Referer是否会无法保护JSON-P,这些清晰的例子。
谢谢!
编辑:
只是为了澄清 - 的JSON-P是通过Spring Security的安全,所以它不会只由Referer标头担保。我主要关心会话劫持...
您应该查看OAuth,它基本上采用了使用签名令牌进一步检查引荐者的想法。 – user123444555621
我考虑过OAuth,它可能会让我们使用JSON(而不是'with padding')。目前我们正在使用CAS,我想使用它,但到目前为止,它只是一个试图让它与AJAX调用一起工作以获得纯JSON的熊。 – acvcu