界: Encapsulation

封装即绘制强边界。在 Web 浏览器中，这可能意味着确保您的移动代码不会被其他移动代码滥用。在服务器上，这可能意味着区分已验证数据和未验证数据、区分一个用户的数据和另一个用户的数据，或者区分允许用户查看的数据和不允许用户查看的数据。

JavaScript Hijacking: JSONP

C#/VB.NET/ASP.NET
Scala

Abstract

JSONP 是一种不安全的通信技术，仅可在不涉及个人或敏感数据并检查回调函数的情况下使用。

Explanation

通过设计 JSONP 可允许执行跨域请求，但是它缺乏限制和验证请求源的机制。恶意站点可以轻松地以用户的名义执行 JSONP 请求并处理 JSON 响应。因此，强烈建议在发送 PII 或敏感数据时避免使用此通信技术。
JSONP 在设计上是自我攻击的 XSS 攻击，因为回调函数名需要被反射到请求站点以正确进行 JSON 处理。强制验证和检查回调函数名以避免 JavaScript 注入攻击。为了检查回调函数名，请考虑在可能的情况下建立允许列表或将字符限制为仅包含字母数字。

References

[1] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1

[2] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial

[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 2

[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 7

[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark integrity

[6] Standards Mapping - Common Weakness Enumeration CWE ID 346

[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001167

[8] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-18 Mobile Code (P2)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-18 Mobile Code

[11] Standards Mapping - OWASP Top 10 2021 A07 Identification and Authentication Failures

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 3.5.3 Token-based Session Management (L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 14.5.2 Validate HTTP Request Header Requirements (L1 L2 L3), 14.5.3 Validate HTTP Request Header Requirements (L1 L2 L3)

[13] Standards Mapping - OWASP Mobile 2014 M4 Unintended Data Leakage

[14] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-003300 CAT II

[15] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-003300 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-003300 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-003300 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-003300 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-003300 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-003300 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-003300 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-003300 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-003300 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-003300 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-003300 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-003300 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-003300 CAT II

[28] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)

[29] Standards Mapping - Web Application Security Consortium 24 + 2 Information Leakage

desc.semantic.dotnet.javascript_hijacking_jsonp

Abstract

JSONP 是一种不安全的通信技术，仅可在不涉及个人或敏感数据的情况下使用。

Explanation

通过设计 JSONP 可允许执行跨域请求，但是它缺乏限制和验证请求来源的机制。恶意站点可以轻松地以用户的名义执行 JSONP 请求并处理 JSON 响应。因此，强烈建议在发送 PII 或敏感数据时避免使用此通信技术。