描述

Spring Framework,5.0.7之前的5.0.x版本,4.3.18之前的版本4.3.x以及较旧的不受支持的版本,允许Web应用程序通过JSONP(带填充的JSON)通过AbstractJsonpResponseBodyAdvice为REST控制器启用跨域请求,和MappingJackson2JsonView用于浏览器请求。默认情况下,两者都没有在Spring Framework和Spring Boot中启用。但是,在应用程序中配置MappingJackson2JsonView时,JSONP支持可以通过“jsonp”和“callback”JSONP参数自动准备使用,从而启用跨域请求。

允许来自不受信任来源的跨域请求可能会将用户信息暴露给第三方浏览器脚本。

此漏洞适用于以下应用程序:

  • 显式配置MappingJackson2JsonView。

  • 并且不要将MappingJackson2JsonView的jsonpParameterNames属性设置为空集。

  • 并通过可以使用JSONP呈现内容的端点公开敏感用户信息。

参考资料