个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
假设我有一个站点,但上面没有 crossdomain.xml 或 clientaccesspolicy.xml。
这意味着人们无法通过 Silverlight 或 Flash 应用程序访问我的网站。
但是他们可以使用 PHP 中的 cURL(或其他语言中的等效项)从我的站点获取信息,并通过 REST 或 WebService 等将其提供给他们的 Silverlight 和 Flash 应用程序。
最佳答案
PHP 是一种服务器端技术,代码在服务器上执行,而不是在用户的机器上。
Silverlight 是一种在用户机器上运行的客户端技术。
如果 Silverlight 代码可以向任何域发出任意 Web 请求,它就会为大量跨站点脚本攻击打开大门。
想象一下这个场景:
Bob 转到 www.OnlineBanking.com 并登录以查看他的帐户余额。他通过导航到另一个地址离开了该站点。他没有单击“注销”,因此他仍处于登录状态(或者,他打开一个新的浏览器窗口/选项卡,使银行站点仍处于打开状态)。
Bob 浏览到 evil.com,其中包含 Silverlight 应用程序。
Silverlight 应用程序已下载并在 Bob 的机器上运行。
此应用程序向 www.OnlineBanking.com/secretaccountdetails.html 发出 Web 请求。此文件需要身份验证才能读取(evil.com 未经过身份验证,因此无法访问它)。
然而,Bob 经过身份验证,请求成功。 Silverlight 应用程序可以读取该文件的内容并对其进行任何操作(包括将其发送到 evil.com)。
Silverlight 中的跨域请求限制阻止了上述情况的发生。当 Silverlight 应用程序向 OnlineBanking.com 发出请求时,它将检查跨域策略文件,因为该应用程序是从不同的域提供的。由于 OnlineBanking.com 没有允许跨域请求的策略文件,因此请求失败并且 Silverlight 应用程序无法下载 secretaccountdetails.html。
关于flash - 如果有例如 crossdomain.xml 和 clientaccesspolicy.xml 的意义是什么? PHP/ curl ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/587981/
24
4
0
我以前从未做过任何 curl ,所以需要一些帮助。我试图从示例中解决这个问题,但无法理解它! 我有一个 curl 命令,我可以从 Windows 命令行成功运行该命令,该命令行在 Solr 中索引 p
curl -v有什么区别和 curl -I ? 我可以看到 -v是冗长的和 -I是标题。有什么具体的吗? 最佳答案 -I (大写字母 i)在 curl 中表示“没有正文”,对于 HTTP 表示发送 H
我正在使用curl php API访问FTP链接。在特定站点上,它给出错误代码9(拒绝访问)。但是,可以从IE和Firefox访问该链接。 然后,我运行curl命令行,它给出了相同的“访问拒绝”结果。
我已经使用curl有一段时间了,它可以正常工作,但是使用使用用户'domain\username'来验证curl的代理时,无法请求授权。授权方法是NTLM。此代码放入批处理文件中。 代码: curl
“curl”默认使用哪些证书? 例子: curl -I -L https://cruises.webjet.com.au 在 Ubuntu 15.04 上失败 curl: (60) SSL certi
我知道终端输出的一部分是请求的持续时间,剩余时间等。但是是否有一些文档指定了curl命令的终端输出的每一列到底是什么?手册页上的内容非常稀疏。 最佳答案 可能不容易找到,但已在the curl boo
我想通过 curl 在我自己的云服务器上的特定文件夹中上传文件。例如:http://www.myowncloudserver.com/remote.php/webdav/{MY_FOLDER}。此时我
我的网站上有一个密码保护的Web文件夹,我正在使用Curl在另一个域上获取该文件夹,我想要的是:当我尝试打开URL时,应该问我用户名和密码,而不是让它显示“需要授权”。 例: http://www.e
有没有一种方法可以通过简单的Curl获取Rabbitmq中队列的大小(剩余消息)? 类似于curl -xget http://host:1234/api/queue/test/stats 谢谢 最佳答
关闭。这个问题是opinion-based .它目前不接受答案。 2年前关闭。 锁定。这个问题及其答案是locked因为这个问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 我最近开始在我的
我想访问需要用户名/密码的 URL。我想尝试用curl 访问它。现在我正在做类似的事情: curl http://api.somesite.com/test/blah?something=123 我收
我正在尝试使用 CURL 进行查询ElasticSearch 中的命令在windows平台。 例如:localhost:9200/playground/equipment/1?pretty 我收到一条
我正在尝试使用 Docker 构建和运行 Marklogic 实例。 Marklogic 提供了一些不错的 http api,所以,作为最终 CMD在 Dockerfile 中,我运行两个脚本,它们通
我正在尝试通过 cURL 检索网页的内容(比方说 http://www.foo.com/bar.php )。 当我在浏览器中加载网站时,加载页面时会出现动画,页面最终会显示出来。 但是使用 cURL,
我正在尝试使用带代理的命令行 CURL 获取响应状态代码。 这会返回整个页面,但我只想要状态代码。我怎么做?谢谢。 curl -sL -w -x IP:PORT "%{http_code}\n""ht
我有一段代码检查 http/s 端点的状态和加载时间。然后我会为每个顶级页面检查 1 级 href,以检查页面引用的所有内容是否也加载了 200。 (我查了50个顶级页面,每个顶级页面平均有8个链接)
curl --upload-file 和 curl --form file=@/path/file 有什么区别?这些 HTTP 请求有何不同? 最佳答案 --上传文件 (使用 HTTP 或 HTTPS
我正在尝试使用 system-curl 安装 cmake,使用 ./bootstrap --system-curl,如 here 所示.这样做,我得到了: -- Could NOT find
我需要使用 Curl 下载 Youtube 视频的特定部分。 (假设我想下载前 2MB)我在 Curl 中使用 -r 开关来实现这一点。它适用于非 YouTube 链接,但 Youtube 链接会忽略
我希望在使用 curl 命令从远程服务器下载文件后,将时间戳或日期添加到文件名中。我知道您可以使用 -o 来指定您要为文件命名的内容。我看到过这样的建议:-o "somefile $(date +\"
我是一名优秀的程序员,十分优秀!