Sae*_*ati 5 security ajax xmlhttprequest cross-domain
在很多地方我见过人们谈过跨域XMLHttpRequest,由于某些安全原因,这是不可能的.但是,我还没有找到一个帖子,说明这些安全原因究竟是什么?
人们已经提到JSONP是一个很好的选择.另一种选择是使用Origin和Access-Control-Allow-Origin标题.
但是,我只是想知道由于跨域XMLHttpRequest的使用会引起什么样的安全问题?
我认为最好回答你的一个例子的问题,为什么它会非常糟糕.
你去我的网站(example.org).我加载一个脚本,向facebook.com/messages/from/yourgirlfriend发出客户端AJAX请求.你碰巧登录到Facebook,你的浏览器告诉Facebook我的请求实际上是你.Facebook很乐意向我提出有关您想要尝试的奇怪性事情的消息.我现在知道你的事情,你可能不想让我知道.
这当然是夸大其词,幸好不可能归功于相同的原产地政策.
你现在不觉得安全吗?
| 归档时间: |
|
| 查看次数: |
4063 次 |
| 最近记录: |