Ear*_*rlz 7 javascript security dom cross-domain same-origin-policy
为什么HTML DOM和/或Javascript的创建者决定不允许跨域请求?
我可以看到禁止它的一些非常小的安全性好处,但从长远来看,似乎是尝试使Javascript注入攻击具有更少的权力.无论如何,这对JSONP来说都是没有意义的,它只是意味着javascript代码更难以制作,你必须有服务器端合作(尽管它可能是你自己的服务器)
Mat*_*chu 11
实际的跨域问题是巨大的.假设SuperBank.com在内部发送请求以http://www.superbank.com/transfer?amount=100&to=123456转移10,000美元到账号123456.如果我可以到达我的网站,并且您在SuperBank登录,我所要做的就是向SuperBank.com发送一个AJAX请求以移动从您的帐户到我的数千美元.
JSON-P可以接受的原因是滥用它是非常不可能的.使用JSON-P的网站几乎宣称数据是公共信息,因为这种格式太不方便了.但是,如果不清楚数据是否是公共信息,浏览器必须假设它不是.
当允许跨域脚本(或由聪明的Javascripter攻击)时,网页可以访问来自其他网页的数据.示例:当mail.google.com打开时,joeblow.com可以访问您的Gmail.joeblow.com可以阅读您的电子邮件,垃圾邮件您的联系人,欺骗您的邮件,删除您的邮件或任何数量的坏事.
| 归档时间: |
|
| 查看次数: |
682 次 |
| 最近记录: |