转载

发表于 2018年12月14日
浏览 (877)
评论 (0)

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

描述

MappingJackson2JsonView 可自动渲染 JsonView ，当使用 MappingJackson2JsonView 配置应用，自动获取 jsonp 和 callback 参数使json数据自动转换成jsonp格式数据，支持跨域请求

Demo

@RequestMapping(value="/json",method = RequestMethod.GET)
    @ResponseBody
    public ModelAndView index(){
        ModelAndView view = new ModelAndView(new MappingJackson2JsonView());
        view.addObject("username", "Tom");
        view.addObject("info", "this is my secret");
        return view;
    }

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

自动处理callback和jsonp参数

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

补丁

取消自动获取 callback 和 jsonp 参数

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

著作权归作者所有。
商业转载请联系作者获得授权，非商业转载请注明出处。
作者：p0
链接：https://p0sec.net/index.php/archives/122/
来源：https://p0sec.net/

原文 https://p0sec.net/index.php/archives/122/

正文到此结束

所属分类： Spring

本文标签： https value json PHP App spring 数据 UI 配置 http map src js 参数
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

热门推荐

openfire数据库安装指南

浏览(13,741) 评论(0)
Caffe 深度学习框架上手教程

浏览(10,454) 评论(0)
ReactiveCocoa入门教程：第一部分

浏览(11,286) 评论(0)
开源HIDS-OSSEC使用实例:监测CC攻击

浏览(11,194) 评论(0)
Decorators in ES7

浏览(15,737) 评论(4)
用Electron（Atom编辑器的兄弟项目）开发桌面应用

浏览(28,761) 评论(0)
Windows下JetBrains CLion中文输出乱码的解决方法

浏览(12,214) 评论(1)
同步-@synchronized, NSLock, pthread, OSSpinLock性能比较

浏览(11,176) 评论(0)
Seaweedfs之Volume读请求重定向

浏览(25,454) 评论(3)
HTML、CSS及JavaScript ：有Promise，不会搞大肚子

浏览(13,314) 评论(0)

相关文章

阿里云首购8折

Loading...

其他链接

关于本站

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号

HBLOG

HBLOG