如果我是惡意的(或者惡意且不小心),我可以將一些PHP添加到我正在工作的網站(或正在構建的後端Web應用程序),這些網站可以發送一些我無權訪問的數據服務器。有很多方法可以實現這一點。Javascript能以某種方式窺探我的網站嗎?
我想知道:Javascript能做類似的事嗎?
例如,是否有可能通過使用一些html/css/javascript網頁模板來窺探,這些模板將披露來自我的網站的信息 - 從我的網站/ web應用程序發送任何類型的信息給惡意的遠程服務器開發者?
在此先感謝。
如果我是惡意的(或者惡意且不小心),我可以將一些PHP添加到我正在工作的網站(或正在構建的後端Web應用程序),這些網站可以發送一些我無權訪問的數據服務器。有很多方法可以實現這一點。Javascript能以某種方式窺探我的網站嗎?
我想知道:Javascript能做類似的事嗎?
例如,是否有可能通過使用一些html/css/javascript網頁模板來窺探,這些模板將披露來自我的網站的信息 - 從我的網站/ web應用程序發送任何類型的信息給惡意的遠程服務器開發者?
在此先感謝。
是的,當然你可以使用javascript發送數據到其他服務器。與您的PHP代碼片段方法的不同之處僅在於它在用戶對應用程序的看法下在客戶端執行。所以,你只能泄漏當前用戶所知道的數據,而且你只能用當前用戶的權限(和他的憑證)妥協應用程序。
但是,檢測JavaScript注入(它也可能發生在客戶端或傳輸過程中)比惡意的PHP代碼片段更加困難。
是的 - 這是可能的。網站分析,就像谷歌分析一樣。 – piatek
使用JavaScript,第三方可以竊取您的會話cookie,以用戶或管理員身份登錄,並獲得對您網站的控制權。 – mpm
@camus:但是,有'HTTP-only' Cookie無法被javascript讀取 – Bergi