首页
学习
活动
专区
工具
TVP
发布
社区首页 >问答首页 >我需要清理JSONP调用中的回调参数吗?

我需要清理JSONP调用中的回调参数吗?
EN

Stack Overflow用户
提问于 2010-05-06 05:46:08
回答 4查看 28.7K关注 0票数 18

我想通过JSONP提供一个was服务,我想知道我是否需要清理回调参数的值。

我目前的服务器端脚本看起来像这样(或多或少。代码是用PHP编写的,但实际上可以是任何东西。):

代码语言:javascript
复制
header("Content-type: application/json; charset=utf-8");
echo $_GET['callback'] . '(' . json_encode($data) . ')';

这是一个典型的XSS漏洞。

如果我需要清理它,那该怎么做呢?我找不到关于可能允许的回调字符串的足够信息。我引用Wikipedia的话

虽然填充(前缀)通常是在浏览器的执行上下文中定义的回调函数的名称,它也可以是变量赋值、if语句或任何其他Javascript语句前缀。

EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/2777021

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档