JSONP

JSONP (JSON са поставом) је техника коју користе веб програмери како би превазишли међудоменска ограничења наметнута од стране полисе заједничког порекла прегледача која ограничава приступ ресурсима чије је порекло различито од полазног.

JSON је скраћеница од "JavaScript Object Notation" и представља формат у којем су објекти представљени помоћу парова кључева и вредности.

Принцип рада

Да би видели како ова техника ради, прво размотримо URL захтев који испоручује JSON податаке. JavaScript програм може да затражи овај URL преко XMLHttpRequest, на пример. Претпоставимо да је идентификатор корисник за особу Фоо 1234. Прегледач тражи URL http://server.example.com/Users/1234 прослеђујући идентификатор 1234, а примиће податке (углавном динамички генерисане) слично овоме: 

{
    "Name": "Foo",
    "Id": 1234,
    "Rank": 7
}

Овде, HTML <script> елемент одређује за src атрибут URL који враћа JSON: 

<script type="application/javascript"
        src="http://server.example.com/Users/1234">
</script>

Прегедач ће, редом, преузети script датотеку, проценити њен садржај, интерпретирати сирове JSON податке као block и избацити синтаксну грешку. Чак и да су подаци третирани као JavaScript објекат, не би им се могло приступити у JavaScript коду који прегледач извршава, без претходне доделе ове вредности некој променљивој.

У употреби JSONP , URL захтев указује srcна атрибут у <script> део и враћа JSON податак, заокружен JavaScript кодом (углавном преко позива функције). Овај "wrapped payload" је интерпретиран од стране прегледача. Тако, функција, која је већ дефинисана у JavaScript окружењу, може да манипулише JSON подацима. Типични JSONP захтев и одговор приказан је доле.

Функцијски позив myResponseFunction() је "P" из JSONP— "padding" око чистог JSON-а, или према неким[1] "префикс".

Имајте на уму да за рад са JSONP, сервер мора да врати одговор који садржи JSONP функцију. JSONP не ради са JSON-форматираним резултатом. JSONP функција "тражи" да буде враћена, док "payload", који је примила функција, мора бити договорен од стране клијента и сервера.

По конвенцији, прегледач даје име (позив) функције, према називу вредности параметара упита, углавном користећи назив jsonp или callback упита - у захтеву сервера, на пример, 

<script type="application/javascript"
        src="http://server.example.com/Users/1234?callback=parseResponse">
</script>

У овом примеру, примљени "payload" би био: 

parseResponse({"Name": "Foo", "Id": 1234, "Rank": 7});

Убацивање скрипт елемената

JSONP има смисла само када се користи са скрипт елементима. За сваки нови JSONP захтев, прегледач мора да дода нови <script> елемент, или да искористи неки постојећи. Бивша опција—додавање новог скрипт елемента—је урађена преко DOM манипулације, и позната је као убацивање скрипт елемента. <script> елемент је убачен у HTML DOM, са URL од жељене JSONP крајње тачке постављене као "src" атрибут. Ово динамичко убацивање скрипт елемента углавом је урађено JavaScript помоћном библиотеком. jQuery и остали frameworks имају JSONP помоћне функције; постоје и самосталне опције.[2][3][4]

Пример динамичког убацивања скрипт елемента за JSONP позив изгледа овако: 

<script type="application/javascript"
        src="http://server.example.com/Users/1234?callback=parseResponse">
</script>

Након што је елемент убачен, прегледач процењује елемент и обавља HTTP GET на URL, преузимајући садржај. Прегледач, потом, процењује враћени "payload" као JavaScript. Ово је типично позивање функције.

На тај начин, употреба JSONP може да дозволи страници прегледача да ради "same-origin policy" преко убацивања скрипт елемента.

Скрипта ради у оквиру укључене странице и, као таква, и даље је предмет cross-domain ограничења у односу на домен странице. То значи да веб страница не може, рецимо, да учита библиотеку која се налази на другом сајту са JSONP и потом дa направи XMLHttpRequest захтев за тај сајт (осим ако је cross-origin дељења ресурса подржан), мада се могу користити и такве библиотеке за прављење XMLHttpRequests на сопственом сајту.

Захтеви cross домена који користе прокси сервер

JavaScript полиса заједничког порекла нормално спречава претраживач да шаље AJAX захтеве различитим доменима и примање одговора (новији претраживачи, који подржавају CORS, могу опустити ово ограничење). Кооперативни прокси сервер, међутим, нема таква ограничења и може пренети захтев прегледача серверу у одвојеном домену , складиштити резултат, и онда вратити JSON payload, када прегледач прави следећи захтев. Сервер ће бити упућен у склопу првог захтева да складишти излаз (POST враћа JSON payload) привремено у локалном снабдевачу (на пример кеширана меморија или у оквиру сесије променљиве), а други захтев прегледача донеће кеширани одговор на почетни упит.[5] The xd_arbiter.php коришћен од стране Facebook's JS SDK је популаран пример технике сарађивања сервера.[6]

Проблеми безбедности

Непоузданост кода

Укључујући скрипт ознаке, главном серверу омогућава се убацивање и прикупљање података на/са веб сајта. Уколико су удаљени сервери рањиви, који омогућавају убацивање Javascript-a, страна коју услужује оригинални сервер је изложена опасности. Ако "нападач" може да спроведе било какав JavaScript код у оригинални веб сајт, онда овај код може да добије додатни JavaScript из било ког домена.[7] У садржај безбедносне политике HTTP хедер дозвољава веб сајтовима да "кажу" веб прегледачима које скрипте могу бити укључене.

Напор је направљен око 2011.г. утврђивањем сигурније и ригоризније дефиниције за JSON[8] , па прегледачи имају прилику укључивања скрипте на основу MIME типа "апликација/json-p". Ако  одговор не прође као строги јсон-p, претраживач може да "изда грешку" или једноставно игнорише цео одговор. Међутим, овај приступ је одбијен од стране CORS-a, и прави MIME за jsonp остаје апликација/Јавасцрипт.[9]

Манипулација позива и рефлективно преузимање података

Непотврђена повратна имена могу да се искористе при преносу марвелозних података клијентима заобилазећи ограничења у вези са апп/јсон садршајем, као што је и демонстрирано у нападу помоћу рефлективног преузимања података 2014. године.[10]

Фалсификовање захтева

Наивни развој JSONP се заснива на нападима проузрокованим фалсификовању захтева (CSRF или XSRF).[11] јер HTML <скрипт> ознака не поштују исту политику у реализацији веб прегледача, марвелозне стране могу преузети податке које припадају другим сајтовима користећи JSON. Сајт ће омогућити подацима који су енкодирани помоћу JSON-а да буду процењени у контексту марвелозне стране, могућег откривања шифре или других осетљивих података, под условом да је корисник улогован на неки други сајт. 

Ово је проблематично, само ако, подаци енкодирани помоћу JSON-а, садрже осетљиве информације које не би требало да буду лако доступне. Сервер зависи од прегледача који може блокирати податке који немају право приступа. Ова зависност приватности од прегледача може се заобићи тако што сервер одлучује о приватности. Када је захтев прихваћен, онда, може само поставити податке на "жицу". Ексклузивна употреба колачића за одређивање да ли је захтев прихваћен требало би да буде избегнута. Као да је захтев фалсификован.

Rosetta Flash

Rosetta Flash је експлотациона техника која омогућава нападачу да користити сервер са рањивим JSONP крајњим тачкама (изазвана од стране Adobe Flash Player) да увери нападача да је његов аплет настао на рањивом серверу. Апплет може затим послати податке назад до нападача.  Exploit користи ActionScript компајлиран у SVF фајл који је сачињен у потпуности од алфа-нумеричких карактера, правећи  zlib стрим са одређеним хедером  и DEFLATE блоковима са хофмановим кодирањем. Добијени алфанумерички SVF-фајл, који, затим, користи позив параметара JSONP. Велики сајтови, попут Google, Youtube, Facebook, Yahoo!, Yandex, Linkedin, eBay, Instagram i Tumblr били су рањиви до јула 2014. године.[12] Ова рањивост откривена је и објављена од стране компаније Google, а открио је безбедносни инжењер Michele Spagnuolo[13]. Рањивости имају CVE 2014-4671[14] и CVE 2014-5333.[15] Adobe Flash Player верзија 14.0.0.145, објављена 8. јула 2014. године, уведена је строжа провера датотека Flash фајлова,[16] а у верзији 14.0.0.176, објављеној 12. августа 2014. године, трајно су решили проблем,[17] спречавањем рада exploit-a.

Историја

У јулу 2005. године Џорџ Јемпти предложио опциону доделу променљивих  у JSON-у.[18][19] Оригинални предлог за JSONP, где је пуњење  позив функције, предложио је  Боб Ипполито у децембру 2005. године,[20] и сада је користе многе веб 2.0 апликације, као што су дојо алат, Google веб-алат и веб-услуга.

Види још

  • Заједничко коришћење ресурса (ЗКР)
  • Методе за размену порука

Референце

  1. ^ „Experimental RDF result set to JSON translator”. Архивирано из оригинала 15. 11. 2014. г. Приступљено 20. 2. 2012. 
  2. ^ „example jsonp library on pastebin”. 
  3. ^ „Basic JSONP helper (pure JS)”. 
  4. ^ „jQuery's $.getJSON utility”. 
  5. ^ „Архивирана копија”. Архивирано из оригинала 09. 02. 2014. г. Приступљено 15. 05. 2016. 
  6. ^ Kinsey, Sean. „Facebook and Cross domain messaging clarification?”. Stack Exchange, Inc. Приступљено 22. 11. 2013. 
  7. ^ Ben Hayak (17. 10. 2014). „Same Origin Method Execution” (PDF). Приступљено 22. 10. 2014. 
  8. ^ „Safer cross-domain Ajax with JSON-P/JSONP”. JSON-P.org. Архивирано из оригинала 04. 03. 2016. г. Приступљено 30. 10. 2011. 
  9. ^ Grey, Eli (27. 6. 2010). „Is this safe for providing JSONP?”. stackoverflow.com. Приступљено 7. 9. 2012. 
  10. ^ Oren Hafif (2014). „Reflected File Download - A New Web Attack Vector”. TrustWave. Архивирано из оригинала 28. 03. 2015. г. Приступљено 25. 3. 2015. 
  11. ^ Grossman, Jeremiah (27. 1. 2006). „Advanced Web Attack Techniques using GMail”. Приступљено 3. 7. 2009. 
  12. ^ Michele, Spagnuolo. „Abusing JSONP with Rosetta Flash”. Архивирано из оригинала 21. 07. 2014. г. Приступљено 20. 7. 2014. 
  13. ^ „Google - list of software vulnerabilities discovered or fixed by Googlers”. Приступљено 29. 7. 2014. 
  14. ^ „MITRE: CVE-2014-4671”. Архивирано из оригинала 23. 09. 2015. г. Приступљено 29. 7. 2014. 
  15. ^ „MITRE: CVE-2014-5333”. Архивирано из оригинала 23. 09. 2015. г. Приступљено 21. 8. 2014. 
  16. ^ „Adobe Security Bulletin APSB14-17”. Приступљено 29. 7. 2014. 
  17. ^ „Adobe Security Bulletin APSB14-18”. Приступљено 21. 8. 2014. 
  18. ^ „eval'ing JSON”. 19. 7. 2005. Архивирано из оригинала 12. 02. 2006. г. Приступљено 15. 05. 2016. 
  19. ^ „json: Message: Re: Comments”. 17. 8. 2005. Архивирано из оригинала 22. 07. 2012. г. Приступљено 15. 05. 2016. 
  20. ^ „Remote JSON - JSONP”. from __future__ import *. Bob.pythonmac.org. 5. 12. 2005. Архивирано из оригинала 08. 06. 2012. г. Приступљено 8. 9. 2008. 
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya