ajax – 使用跨域XMLHttpRequest有哪些安全风险?
发布时间:2020-12-16 02:56:43 所属栏目:百科 来源:网络整理
导读:在很多地方我见过人们谈过跨域 XMLHttpRequest,由于某些安全原因,这是不可能的.但是,我还没有找到一个帖子,说明这些安全原因究竟是什么? 人们已经提到JSONP是其中一个很好的选择.另一种方法是使用Origin和Access-Control-Allow-Origin标头. 但是,我只是想知
|
在很多地方我见过人们谈过跨域
XMLHttpRequest,由于某些安全原因,这是不可能的.但是,我还没有找到一个帖子,说明这些安全原因究竟是什么?
人们已经提到JSONP是其中一个很好的选择.另一种方法是使用Origin和Access-Control-Allow-Origin标头. 但是,我只是想知道由于跨域XMLHttpRequest的使用会引起什么样的安全问题? 解决方法
我认为最好回答你的一个例子的问题,为什么它会非常糟糕.
你去我的网站(example.org).我加载一个脚本,向facebook.com/messages/from/yourgirlfriend发出客户端AJAX请求.你碰巧登录到Facebook,你的浏览器告诉Facebook我的请求实际上是你. Facebook很乐意向我提出有关您想要尝试的奇怪性事情的消息.我现在知道你的事情,你可能不想让我知道. 这当然是夸大其词,幸好不可能归功于相同的原产地政策. 你现在不觉得安全吗? (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |