我正在構建一個混合應用程序(HTML,CSS,JS +本機iOS代碼),並且想調用Web服務,但目前由XSS安全攔截。是否可以在移動Safari中允許跨站點腳本(XSS)?
什麼我需要做的關閉這個安全功能(或更可能提供允許連接一白名單?)
感謝您的幫助!
我正在構建一個混合應用程序(HTML,CSS,JS +本機iOS代碼),並且想調用Web服務,但目前由XSS安全攔截。是否可以在移動Safari中允許跨站點腳本(XSS)?
什麼我需要做的關閉這個安全功能(或更可能提供允許連接一白名單?)
感謝您的幫助!
是的。
您可以使用Cross Origin Resource Sharing,如果你允許configure the server to support it,它works on enough browsers爲您的需要。
號
XSS不能在任何瀏覽器中被禁用 - 否則,黑客可以很容易地竊取你的錢從你的銀行賬戶。所以這不是你可以,應該或想要採取的途徑。
問你另一個問題,你更清楚地描述你需要達到什麼,我們可以幫忙。
由於'瀏覽器'是由OP編寫的一個軟件(雖然使用了預先存在的庫),但這不是這種情況。 – Quentin 2012-03-15 13:40:49
你在想什麼,你會稱之爲「XSS安全功能」?我所知道的所有XSS攻擊方法都涉及內部瀏覽器證券阻止**的技巧,比如利用將HTML轉義用戶數據寫回頁面的失敗。 – Pointy 2012-03-15 13:41:34
嗨亞倫 - 感謝您的回覆,詳細說明:應用程序調用物理設備,從設備接收信息並顯示信息。我使用嚴格的本地iOS代碼構建了應用程序,並通過HTTP Post請求進行了調用,但客戶想要使用盡可能少的本地代碼構建應用程序(因此它是跨平臺兼容的)......問題是原生HTML/JS代碼嘗試訪問提供數據的物理設備,呼叫被阻止... – Nathan 2012-03-15 13:41:55
*:爲什麼downvote? – 2012-03-15 13:36:30
這不是XSS。 XSS是一個安全漏洞,允許攻擊者將JavaScript添加到您的頁面,以便當訪問者到達您的站點時(通常通過攻擊者的鏈接)運行它。 – Quentin 2012-03-15 13:38:23
你在說什麼樣的「網絡服務」?你究竟在想什麼,瀏覽器究竟在做什麼來挫敗你的努力? 「XSS」是*攻擊*策略,而不是安全功能。 – Pointy 2012-03-15 13:39:08