通常,當我們想要在同一頁面中顯示某個網頁的內容時,我們會請求ajax請求。如果說,我向AJAX請求到不同域的網頁,由於Cross side腳本錯誤,它是不允許的。但爲什麼它允許通過服務器端頁面訪問。對於例如我們可以在PHP中使用CURL來訪問任何網站。爲什麼服務器端腳本功能可以正常使用,而客戶端腳本功能無法正常使用?通過客戶端腳本請求網站= Cross Side Scripting Hack。但通過服務器端腳本請求網站不是黑客!爲什麼?
1
A
回答
2
因爲惡意腳本可以打開外部頁面而不需要用戶的權限。比如想象一個不安全的textarea。如果此文本框的內容向其他用戶顯示,則可能包含連接到遠程主機的腳本並向其發送敏感用戶信息。這一切歸結爲:服務器端 - >你在控制,客戶端 - >公共,所以容易被濫用。
2
參見:
在計算中,同源策略 是一個 數量瀏覽器端編程語言 ,比如JavaScript的一個重要的安全概念。該 政策允許來自同一站點 發起的互相訪問的方法和屬性 無特定限制 頁面 運行的腳本,但阻止訪問 大多數方法和跨不同的網站頁面 性能。
相關問題
- 1. 如何通過Octokit客戶端請求
- 2. 通過服務器端腳本使用node-ncurses客戶端?
- 3. 角度通用 - 爲客戶端緩存服務器端請求
- 4. cURL請求的服務器端腳本
- 5. WCF RESTful服務從網站客戶端腳本跨域訪問
- 6. 與我的網站的客戶端請求的javascript:false的網址。爲什麼?
- 7. 爲什麼不會通過這個網絡請求通過有效網站
- 8. 多網絡請求&網絡客戶端
- 9. 客戶端 - 服務器按鈕請求
- 10. 客戶端從服務器請求
- 11. txjsonrpc服務器與請求客戶端
- 12. 當客戶端向通過ISP的網站發出請求時發送的IP地址是什麼
- 13. 通過客戶端發送的請求是語法不正確
- 14. 通過asp.net mvc網站的html請求
- 15. 通過請求登錄到網站
- 16. Nodejs作爲通過套接字的請求/響應服務器的客戶端
- 17. 客戶端 - 客戶端通過服務器通信
- 18. REST API請求應該是客戶端還是服務器端?
- 19. 爲什麼傳統的ASP腳本或請求爲每個客戶端
- 20. Jersey客戶端請求的Web服務
- 21. DataTables服務器端腳本的客戶端腳本
- 22. 客戶端腳本和服務器端腳本語言
- 23. PHP請求檢查客戶端是否可通過IP
- 24. 我應該做API請求服務器端還是客戶端?
- 25. Python請求模塊 - 繞過ADF環回腳本訪問網站
- 26. 服務器端腳本和客戶端腳本之間有什麼區別?
- 27. WCAT#請求超過#虛擬客戶端
- 28. 如何通過POST請求向網站發送請求?
- 29. 通過Spring集成發送服務器到客戶端的請求
- 30. 通過CURL和客戶端瀏覽器登錄網站