1
我正在寫一個應用程序,我的客戶使用給定的JavaScript,它將收集一些HTML數據併發布到我的服務器。沒有數據將從我的服務器返回。javascript跨域請求iframe VS jsonp
Iframe和Jsonp是兩個選項。我想知道每個給定我的情況的贊成和反對是什麼。其中之一是否涉及任何安全漏洞?
另一個問題是我如何識別用戶?說一個人複製了JavaScript並放在他的網站上。
A
回答
0
JsonP允許您獲得響應,而iframe(大部分)不會。 jsonP的安全性問題是他們必須相信你不會返回惡意的javascript,因爲返回的「json」實際上只是任意的javascript,它本質上是在他們的域的頁面中被評估的。如果你是邪惡的,你可以竊取他們客戶的cookies或其他信息並將它們發回你的服務器。
相關問題
- 1. JSONP跨域請求錯誤
- 2. Sinatra,JavaScript跨域請求JSON
- 3. 跨域請求
- 4. 使用JSONP跨域ajax請求
- 5. FireBug和監控JSONP跨域請求
- 6. 使用jsonp錯誤的跨域請求
- 7. 跨域請求
- 8. JSONP跨域GET請求不能跨域使用
- 9. AJAX跨域請求
- 10. IIS配置允許來自JavaScript文件的跨域JSONP請求
- 11. 如何在javascript中執行跨域jsonp請求
- 12. JavaScript json-p跨域請求
- 13. 從Javascript驗證跨域請求
- 14. 的Javascript:跨域JSON請求發出
- 15. JavaScript,JSONP和從跨域
- 16. PHP跨域請求
- 17. JSONP vs IFrame?
- 18. javascript jsonp url請求
- 19. $ .ajax()vs $ .getJSON()與YQL和跨域請求
- 20. 跨域請求
- 21. 跨域請求
- 22. 跨域請求
- 23. 跨域請求和jQuery/AJAX
- 24. JavaScript跨域火災和遺忘請求
- 25. jQuery的Ajax跨域請求
- 26. 跨域請求使用JSON
- 27. Syncrhonous跨域AJAX請求
- 28. gwt grails跨域請求
- 29. ASMX跨域調用(REST vs JSONP)
- 30. 跨域Ajax獲取請求
等待。什麼? JSONP如何暴露來自其他域的Cookie? – gilly3
@rob更新了問題。我想知道你是否有第二部分的經驗。 –
@ gilly3域A上的頁面向域B發送JSONP請求。這是通過向A上的文檔添加腳本標記完成的,該腳本標記從域B拉下動態生成的腳本。域B發送腳本返回,它是一個採用document.cookies的語句,將其打包到域B的url中,並添加一個圖像或腳本標籤或類似的命中域B與該URL。現在,域B的所有者只是查看他的日誌,而且他擁有用戶的Cookie。 – rob