XSS驗證的Ajax XML問題

Question

在Web應用程序中使用Ajax時，我們使用XML在服務器和客戶端之間傳輸數據。然而，XSS驗證進入圖片， 所以問題是， 1.是否正確傳遞XML？ 2.如果關閉XSS驗證，我們是否會遇到安全問題？ 3.可以通過頭部傳遞Ajax請求（content-type = application/xml）來解決這個問題嗎？

JSON也是傳輸數據但調用XSS的好方法。 那麼什麼是正確和不正確？建議一些好的做法。 請提供相同的意見。 謝謝，

Answer 1

我更喜歡使用JSON;比XML更輕量，並且由於它是一個javascript對象，使用事件處理程序中返回的數據變得微不足道。只是要小心，不要eval（）你的JSON對象，因爲這會危及安全性 - 請參閱When is JavaScript's eval() not evil?

至於XSS保護，這是有充分理由的。我從你的帖子中看到，客戶端代碼託管在與數據源不同的域上？如果是這種情況，XSS保護纔會生效。你可能想看看已針對這種情況開發JSONP，雖然它也帶有一組自己的安全問題：http://en.wikipedia.org/wiki/JSON#JSONP

希望這有助於

JS