[英]Is it safe to load HTML and js via ajax?
我正在使用 Jquery 加載 function $('#result').load('test.php'); 通過單擊選項卡將頁面加載到另一個頁面。 我正在加載的頁面包含 javascript、php,並包含一個表單。 使用螢火蟲控制台,我看到我正在加載的頁面中的所有腳本源都有一個GET 。 不知道這是否應該是一個問題..
可以通過 jquery 負載入侵數據嗎? 有什么問題需要考慮嗎?
注意:我知道舊瀏覽器不能與 javascript 一起使用,但還有什么需要考慮的嗎?
使用 AJAX 加載內容不會引入任何額外的安全問題。
攻擊者可以劫持連接並注入他自己的 Javascript(除非您使用 HTTPS),但他也可以對頁面本身執行此操作。
攻擊者可以利用您后端的 XSS 漏洞來運行他自己的 Javascript,但他也可以對頁面本身執行此操作。
只要您的網站沒有受到損害,您自己的數據的 XHR 本質上並不比任何其他請求更危險。
這實際上取決於您對腳本來源的信任程度。 如果你控制它們,那么就沒有(額外的)問題。 如果您從其他地方獲取它們(例如,來自 Google 的 CDN 的 jQuery),那么您就是信任該來源。
JS里面的HTML? 或者在單獨的html文件中(通過$ .ajax或$ .load加載)
[英]HTML inside JS? Or in separate html file(load via $.ajax or $.load)
當瀏覽器不支持HTML5歷史記錄API時,有條件地通過ajax加載history.js
[英]load history.js via ajax conditionally when browser does not support the HTML5 history API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
