默認情況下,瀏覽器不允許跨站點AJAX請求。爲什麼跨域AJAX請求被標記爲「安全風險」?
據我所知,一個不好設想的跨域請求可能是一個安全風險。如果我採用html或外部網站的javascript,並將其「呈現」到我的網站中,那就是一個問題。這個外部代碼可以用於很多不好的事情 - 比如訪問當前用戶的會話數據。
但如果我只請求JSON或XML數據,我用一個正確的庫來解析JSON(不只是使用eval)我怎麼也想不到,這將是一個安全隱患。可能發生的更糟的是,來自該網站的內容無法正確呈現。
我錯過了什麼?簡單地通過發送一些惡意數據來破壞讀取json/xml的頁面是否可能?
的風險是不是發出請求的網站。
例如:
簡而言之,它可以防止攻擊者從任何Alice擁有憑據的站點(以及防火牆之後的站點,例如Alice的企業Intranet)讀取私人數據。
請注意,這不會阻止不依賴於能夠從站點讀取數據的攻擊(CSRF),但是如果沒有相同來源策略,標準防禦對抗CSRF將很容易被破壞。
你與你的第二點重新JSON/XML絕對正確的。在採取適當的預防措施時,從另一個域接收JSON沒有風險。即使服務器決定返回一些令人討厭的腳本,您也可以通過適當的數據解析來有效地管理風險。事實上,這正是JSONP攻擊如此受歡迎的原因(例如,請參閱twitter的搜索API)。
已經我們看到HTML5兼容的瀏覽器引入了跨域通信新的對象和標準(的postMessage - http://dev.w3.org/html5/postmsg/和跨來源資源共享 - http://www.w3.org/TR/cors/)。
'默認情況下,瀏覽器不允許跨站點requests.'這句話需要一點拋光。你在談論XHR嗎?你在說cookie嗎?因爲通常瀏覽器允許跨域請求:可以使用指向遠程域的錨點或表單,並且當用戶點擊此鏈接時,跨域請求將毫無問題地執行。 – 2012-02-10 13:01:30
可能的重複http://stackoverflow.com/q/9222822和http://stackoverflow.com/q/9169038 – Gumbo 2012-02-10 13:04:08
@DarinDimitrov你是對的。我改變了這句話。 – kikito 2012-02-10 16:14:32