我們正在與第三方進行交流,以將他們的一些數據包含在我們的網站上,他們希望通過iframe來實現,因爲響應原因,我不喜歡這種iframe。人們可以用javascript做些什麼?
他們提供的其他選項是javscript文件列入這將需要一個參數來了解DOM元素,把結果英寸
基本上,這讓他們訪問我們網站的JavaScript的範圍中,如果他們想要的東西可以做像隱藏的東西對象等東西
我的問題是,有什麼安全的事情,我必須考慮?他們可以在他們的JavaScript例如寫最終從我們的服務器讀取.php文件的惡意代碼,並從配置文件等獲取密碼?或者是他們可以做DOM相關的唯一事情?
嗯,究竟如何遠程「讀取」一個PHP文件?如果你的服務器配置正確,通過http打到任何php文件都會執行這個文件,你只能看到腳本的OUTPUT。如果你獲得了PHP源代碼,那麼你應該首先解僱建立你的服務器的人。如果關鍵的配置文件存儲在你的網站的文檔根目錄下,那麼你應該在解僱那個人的時候着火。 –