如果我需要身份验证标头，提供 jsonp 是否安全？

Question

我想提供 jsonp 服务，以便其他站点可以从我的站点获取 json 数据。我知道，如果我使用 cookie 来对用户进行身份验证，这将是危险的，因为浏览器会将 cookie 与所有请求一起发送到我的网站，因此恶意页面可以在不询问用户的情况下代表我的用户发出经过身份验证的请求。

对我的服务的所有请求都必须使用请求中设置的特殊标头 X-AG-AUTH 进行身份验证。必须在该标头中设置标识用户的秘密令牌。

在用户不提供秘密令牌的情况下，恶意网站是否能够通过 jsonp 从我的服务获取数据？

Answer 1

那么，要求 jsonp 调用使用自定义标头将使 jsonp 调用对于来自其他域的请求毫无用处，因为您的调用者将无法设置这些标头。

您可以使用有点类似的方法：需要 CSRF 预防-style token 作为 POST 请求中的参数传递。这将要求您与您希望允许调用端点的每个站点共享生成这些令牌的逻辑和密钥。当然，如果这些密钥中的任何一个在远程服务器端被泄露，您可能不会知道，直到为时已晚。

如果您愿意放弃使用旧浏览器的功能，您可以使用 通过 CORS 的常规 JSON*解析器破坏前缀以防止跨站点脚本包含。

我假设您不想公开您的数据，在这种情况下您也希望需要 SSL。