2012-10-02 91 views
0

好吧我只是做了一個測試,事實證明,這不會被瀏覽器阻止 - 我認爲這是因爲它可以加載jquery並且仍然可以訪問數據負載:如何防止跨站點訪問

我已經找到了一個腳本在這裏: https://securedomain.com/cookie_test.php - 它打印出的餅乾作爲JSON

如果我運行此文件在這裏: http://myotherdomain.com/cookie_test.php

與此內容的JavaScript加載:

,但它不與一個AJAX請求加載,因爲同源策略的

它也像要想在腳本標籤工作,它必須是一個有效的js語句,如: 數據= { secure_data:真正}

,但如果我做的只是簡單的JSON,然後它會導致一個JavaScript錯誤: {secure_data:真正}

所以我在假設該文件中的數據輸出的安全糾正,只要我以json格式輸出JUST json?它不能被客戶端瀏覽器上的任何其他站點檢索到?

回答

0

應該是,但如果你擔心,你總是可以在json周圍添加註釋,將其作爲文本加載到瀏覽器中,在javascript中恢復註釋,然後執行JSON.parse。

以這種方式提供所有cookies從安全域看起來是個壞主意,因爲它會殺死像HttpOnly cookies這樣的明智的東西。