通過客戶端腳本請求網站= Cross Side Scripting Hack。但通過服務器端腳本請求網站不是黑客！爲什麼？

Question

通常，當我們想要在同一頁面中顯示某個網頁的內容時，我們會請求ajax請求。如果說，我向AJAX請求到不同域的網頁，由於Cross side腳本錯誤，它是不允許的。但爲什麼它允許通過服務器端頁面訪問。對於例如我們可以在PHP中使用CURL來訪問任何網站。爲什麼服務器端腳本功能可以正常使用，而客戶端腳本功能無法正常使用？

Answer 1

因爲惡意腳本可以打開外部頁面而不需要用戶的權限。比如想象一個不安全的textarea。如果此文本框的內容向其他用戶顯示，則可能包含連接到遠程主機的腳本並向其發送敏感用戶信息。這一切歸結爲：服務器端 - >你在控制，客戶端 - >公共，所以容易被濫用。

Answer 2

參見：

Same origin policy

在計算中，同源策略 是一個 數量瀏覽器端編程語言 ，比如JavaScript的一個重要的安全概念。該 政策允許來自同一站點 發起的互相訪問的方法和屬性 無特定限制 頁面 運行的腳本，但阻止訪問 大多數方法和跨不同的網站頁面 性能。