CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

栏目: Java · 发布时间: 7年前

内容简介：自动处理callback和jsonp参数

描述

MappingJackson2JsonView 可自动渲染 JsonView ，当使用 MappingJackson2JsonView 配置应用，自动获取 jsonp 和 callback 参数使json数据自动转换成jsonp格式数据，支持跨域请求

Demo

@RequestMapping(value="/json",method = RequestMethod.GET)
    @ResponseBody
    public ModelAndView index(){
        ModelAndView view = new ModelAndView(new MappingJackson2JsonView());
        view.addObject("username", "Tom");
        view.addObject("info", "this is my secret");
        return view;
    }

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

自动处理callback和jsonp参数

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

补丁

取消自动获取 callback 和 jsonp 参数

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持

著作权归作者所有。
商业转载请联系作者获得授权，非商业转载请注明出处。
作者：p0
链接：https://p0sec.net/index.php/archives/122/
来源：https://p0sec.net/

以上所述就是小编给大家介绍的《CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

人人都是产品经理2.0

苏杰 / 电子工业出版社 / 2017-5 / 66.6

《人人都是产品经理2.0——写给泛产品经理》继续定位在-1~3 岁的产品经理。这里特别要强调，“-1 岁”指的是“泛产品经理”群体，比如自认为是“产品新人”的“职场老人”，需要自己做产品的早期创业者，对产品感兴趣并且工作中可能要承担部分职责的技术、设计、运营等人员，其他行业对互联网产品感兴趣的从业者等，《人人都是产品经理2.0——写给泛产品经理》可以说是为他们量身定做的。内容方面，《人人都......一起来看看《人人都是产品经理2.0》这本书的介绍吧!

码农工具