那些遇到过的问题

脚本标签工作时为什么禁止跨域ajax?

hen*_*nle 5 javascript security xmlhttprequest

由于在脚本标记中使用JSONP直接从不同的域获取数据是直截了当的,我们不应该允许XMLHttpRequest也这样做吗?声称它可以解决它时加强安全性没有多大意义,尽管语义更加混乱.

ale*_*lex 8

JSONP仅在提供者允许时才有效.

如果跨域AJAX工作,首先问题之一是人们发布到其他域,希望你有一个经过身份验证的帐户.这是CSRF.

他们可以获取一个经过身份验证的页面,获取您的令牌,然后使用您的令牌发布恶意内容(告诉应用程序这是一个内部请求).

  • 我真的很惊讶有多少开发人员不了解CSRF. (2认同)

归档时间:

查看次数:

354 次

最近记录:

14 年,10 月 前
相关归档
测试值是否为函数 85
Javascript时间戳到相对时间(例如2秒前,一周前等),最佳方法? 59
JavaScript:Ajax请求之后的全局变量 48
源安全组在AWS中未按预期工作 28
zsh:找不到匹配项:请求[安全] 21
Spring 安全性 - 自定义 AuthenticationProvider 不起作用 - Java Config 9
来自移动应用程序的REST API - 使用CAPTCHA确保第一次通话有意义吗? 7
严重的安全限制,而tomcat 8启动与liferay 7
数据库加密比应用程序加密安全吗? 6
为什么我的新加密ssl设置会出现浏览器警告? 2
难疑归档
为什么处理排序数组比处理未排序数组更快? 23665
如何水平居中<div>? 4116
如何列出提交中的所有文件? 2619
原子和非原子属性之间有什么区别? 1828
用JavaScript比较两个日期 1791
命令折叠代码的所有部分? 1576
如何从文件内容创建Java字符串? 1440
Android中的gravity和layout_gravity有什么区别? 1286
为什么使用Redux而不是Facebook Flux? 1126
我如何修剪空白? 1035