CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持
描述
MappingJackson2JsonView 可自动渲染 JsonView ,当使用 MappingJackson2JsonView 配置应用,自动获取 jsonp 和 callback 参数使json数据自动转换成jsonp格式数据,支持跨域请求
Demo
@RequestMapping(value="/json",method = RequestMethod.GET)
@ResponseBody
public ModelAndView index(){
ModelAndView view = new ModelAndView(new MappingJackson2JsonView());
view.addObject("username", "Tom");
view.addObject("info", "this is my secret");
return view;
}
自动处理callback和jsonp参数
补丁
取消自动获取 callback 和 jsonp 参数
著作权归作者所有。
商业转载请联系作者获得授权,非商业转载请注明出处。
作者:p0
链接:https://p0sec.net/index.php/archives/122/
来源:https://p0sec.net/
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
