- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
像许多开发人员一样,我想让服务器“A”提供的 JavaScript 与服务器“B”上的 Web 服务对话,但我被当前的 same origin policy 的化身所阻碍。 .克服这个问题的最安全的方法(我能找到)是一个服务器脚本,它位于服务器“A”上并充当它和“B”之间的代理。但是如果我想在各种客户环境(RoR、PHP、Python、.NET 等)中部署这个 JavaScript 并且无法为所有这些环境编写代理脚本,我该怎么办?
使用 JSONP,some people say .好吧,Doug Crockford 指出 on his website和 in interviews脚本标签 hack(由 JSONP 使用)是一种绕过同源策略的不安全方式。由“A”提供的脚本无法验证“B”是他们所说的人,并且它返回的数据不是恶意的,或者会捕获该页面上的敏感用户数据(例如信用卡号)和传给卑鄙的人。这似乎是一个合理的担忧,但是如果我只使用脚本标记 hack 本身并严格使用 JSON 进行通信呢?那安全吗?如果没有,为什么不呢?使用 HTTPS 会更安全吗?示例场景将不胜感激。
附录:需要支持 IE6。第三方浏览器扩展不是一种选择。请让我们继续解决脚本标签黑客攻击的优点和风险。
最佳答案
目前浏览器供应商在跨域 javascript 应该如何工作上存在分歧。 Flash 的 Crossdomain.xml file 是一种安全且易于使用的 optoin。 .大多数语言都有 Cross Domain Proxies为他们写的,他们是开源的。
一个更邪恶的解决方案是使用 xss 如何 Sammy Worm用来传播。 XSS 可用于使用 xmlhttprequest 来“读取”远程域。如果其他域添加了 <script src="https://YOUR_DOMAIN"></script>
,则不需要 XSS .像这样的脚本标签允许你在另一个域的上下文中评估你自己的 JavaScript,这与 XSS 相同。
同样重要的是要注意,即使对同源策略有限制,您也可以让浏览器将请求传输到任何域,但您无法读取响应。这是CSRF的基础。您可以将不可见的图像标签动态写入页面,以使浏览器触发无限数量的 GET 请求。图片标签的这种使用是攻击者获取 documnet.cookie
的方式在另一个域上使用 XSS。 CSRF POST 通过构建表单然后调用 .submit()
来利用工作。在表单对象上。
要更好地理解同源策略、CSRF 和 XSS,您必须阅读 Google Browser Security Handbook .
关于security - 安全实现脚本标签黑客来做 XSS?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3568098/
所以我使用一个带有整个 block 的标签作为链接,它是一个产品展示,所以你点击它会转到产品页面。现在我创建了一个标签作为链接到购物车页面的按钮。所以我让它工作,但是当我点击购物车按钮时,两个页面都会
根据 Web 标准,创建带有标题 1 的链接的正确代码是什么? 是吗 stackoverflow 或 stackoverflow 谢谢 最佳答案 根据网络标准,您不能将 block 元素放入内
在Java中它是这样写的..当我移植这段代码时...意识到没有这样的东西 break 和continue . 我知道这些命令没有包含在内,因为在使用带有命令的 goto 时必须有一种更简洁的方法来执
我们有一个相当标准的发布过程,使用 Visual Source Safe 在发布之前标记构建。这允许我们在出现任何问题时从该标签中获取,并在需要更改时使用它进行分支。 我们有几个不同的项目,并且总是使
我必须创建一个搜索内容,其中包含搜索框、标题和段落描述。默认情况下,描述被禁用,当我输入一些与描述文本匹配的文本时,描述段落标签应该打开。一些匹配的演示是这样的: [ fiddle ][1] 但默认情
我一直在阅读有关 的文档标签,我似乎无法理解它与简单地使用 有何不同那是 display: none; 文档:template tag 例子 对比 例子
我需要一个脚本来复制当开关按钮打开时标记,当开关按钮关闭时删除标记。我需要一个简单的方法。这是开关按钮: 我试过这个: var change
JSF 是一个 MVC 框架,但我很困惑为什么我们已经有了这么多 HTML 标签还需要 JSF 标签。毫无疑问,JSF 简化了很多事情。我想进一步了解 JSF 中的模型 View 和 Controll
我在这个 website 上看到了那些 html 代码: Homepa
我添加了 photoswipe 插件,可以使用 搜索我的所有照片。标签,如果点击,照片就会变成全屏。我让它工作了,但现在我的导航栏(有 标签)在点击时会触发 photoswipe 插件。 在 ph
标签
我正在尝试截断显示自 的文本标签,但它不工作。我将样式应用于其他标签样式并且它确实有效(我看到的示例中没有一个使用 标签)。我想知道是否有人可以向我解释为什么会这样(我不是最擅长 HTML/CSS
HTML 是这样的: Menu 1 Menu 2 Sub menu 2
我可以更改 TextInputLayout 的位置 float 标签(底部 float 标签)吗?我需要为波纹管 float 标签设置正确的位置。 最佳答案 我解决了我的问题,这是我的 xml:
我的代码是 printMsg : function(data) { $("#message").html(data.bodyText); ... } 这里 data.body
我是 Scrapy 和 Xpath 的初学者,我正在寻找解析具有以下结构的网站 cat1 value1 value2
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求提供代码的问题必须表现出对所解决问题的最低限度理解。包括尝试过的解决方案、为什么它们不起作用,以及
我必须从 xml 中解析数据。这是我的 xml- 或者它的 url 是:http://mobileecommerce.site247365.com/admin/catdata.xml News f
如何创建应该允许多行数据的标记。不要说使用textarea标签。我知道,但我只想 标记因为标签具有 value 属性。所以当我从 xml 文件获取值时,我应该使用 jquery 语法动态获取.. 最佳
我有一个页面使用我定义的某些样式。 在同一页面上,我刚刚导入了一个使用自己样式的外部 jQuery 插件,例如,包括 。被我自己覆盖的标签样式。 如何确保我的样式表中的样式不会覆盖 jQuery 插件
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我是一名优秀的程序员,十分优秀!