p0's blog | 破 关注网络安全
CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持
发表于: | 分类: 技术分享 | 评论:0 | 阅读: 1327

描述

MappingJackson2JsonView可自动渲染JsonView,当使用MappingJackson2JsonView配置应用,自动获取jsonpcallback参数使json数据自动转换成jsonp格式数据,支持跨域请求

Demo

@RequestMapping(value="/json",method = RequestMethod.GET)
    @ResponseBody
    public ModelAndView index(){
        ModelAndView view = new ModelAndView(new MappingJackson2JsonView());
        view.addObject("username", "Tom");
        view.addObject("info", "this is my secret");
        return view;
    }

自动处理callback和jsonp参数

补丁

取消自动获取callbackjsonp参数


著作权归作者所有。
商业转载请联系作者获得授权,非商业转载请注明出处。
作者:p0
链接:https://p0sec.net/index.php/archives/122/
来源:https://p0sec.net/

添加新评论

TOP