为什么跨域AJAX请求被标记为“安全风险”?
[英]Why are cross-domain AJAX requests labelled as a “security risk”?
问题描述
默认情况下,浏览器不允许跨站点AJAX请求。
我知道,一个设想不当的跨域请求可能会带来安全风险。 如果我使用外部网站的html或javascript并将其“渲染”到我的网站中,那就是一个问题。 该外部代码可用于许多不良事情 - 例如访问当前用户的会话数据。
但是,如果我只请求JSON或XML数据,并且我使用适当的库来解析JSON(而不仅仅是使用eval),我无法想象这将是一个安全风险。 可能发生的更糟糕的是来自该站点的内容无法正确呈现。
我错过了什么吗? 是否可以通过发送某种恶意数据来破坏读取json / xml的页面?
2 个解决方案
解决方案1
12 已采纳 2012-02-10 13:00:00
风险不是发出请求的网站。
例如:
- 爱丽丝访问她的银行并登录。
- 然后她访问了Evil Site。
- Evil Site使用JavaScript导致Alice的浏览器向Her Bank提出请求
- 她的银行用Alice的帐户详细信息回复并将其传递给JavaScript
- JavaScript然后将它们传递给Evil Site的控制器
简而言之 - 它可以防止攻击者从Alice拥有凭据的任何站点(以及防火墙后面的站点,例如Alice的企业Intranet)读取私有数据。
请注意,这不会阻止不依赖于从站点读取数据的攻击( CSRF ),但如果没有同源策略,对CSRF的标准防御很容易被破坏。
解决方案2
2 2012-02-10 13:06:26
你的第二点是JSON / XML,你是完全正确的。 如果采取适当的预防措施,则从其他域接收JSON没有风险。 即使服务器决定返回一些讨厌的脚本,您也可以通过适当的数据解析来有效地管理风险。 事实上,这正是JSONP hack如此受欢迎的原因(例如,参见twitter的搜索API)。
我们已经看到支持HTML5的浏览器为跨域通信引入了新的对象和标准(postMessage - http://dev.w3.org/html5/postmsg/和跨源资源共享 - http://www.w3.org / TR / cors / )。
为什么我可以从JavaScript控制台发送跨域Ajax请求?
[英]Why am I able to send cross-domain ajax requests from the javascript console?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.