[英]Why are cross-domain AJAX requests labelled as a “security risk”?
默认情况下,浏览器不允许跨站点AJAX请求。
我知道,一个设想不当的跨域请求可能会带来安全风险。 如果我使用外部网站的html或javascript并将其“渲染”到我的网站中,那就是一个问题。 该外部代码可用于许多不良事情 - 例如访问当前用户的会话数据。
但是,如果我只请求JSON或XML数据,并且我使用适当的库来解析JSON(而不仅仅是使用eval),我无法想象这将是一个安全风险。 可能发生的更糟糕的是来自该站点的内容无法正确呈现。
我错过了什么吗? 是否可以通过发送某种恶意数据来破坏读取json / xml的页面?
风险不是发出请求的网站。
例如:
简而言之 - 它可以防止攻击者从Alice拥有凭据的任何站点(以及防火墙后面的站点,例如Alice的企业Intranet)读取私有数据。
请注意,这不会阻止不依赖于从站点读取数据的攻击( CSRF ),但如果没有同源策略,对CSRF的标准防御很容易被破坏。
你的第二点是JSON / XML,你是完全正确的。 如果采取适当的预防措施,则从其他域接收JSON没有风险。 即使服务器决定返回一些讨厌的脚本,您也可以通过适当的数据解析来有效地管理风险。 事实上,这正是JSONP hack如此受欢迎的原因(例如,参见twitter的搜索API)。
我们已经看到支持HTML5的浏览器为跨域通信引入了新的对象和标准(postMessage - http://dev.w3.org/html5/postmsg/和跨源资源共享 - http://www.w3.org / TR / cors / )。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.