طلب موقع ويب بواسطة برنامج نصي جانبي للعميل = اختراق نصوص عبر الجانب. لكن طلب موقع ويب بواسطة البرنامج النصي جانب الخادم ليس اختراقًا! لماذا ا؟
https://stackoverflow.com/questions/3023050
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
بشكل عام ، عندما نريد إظهار محتويات بعض صفحات الويب في نفس الصفحة ، فإننا نذهب إلى طلبات AJAX. إذا قيل ، أطلب صفحة ويب في مجال مختلف مع Ajax ، فلا يُسمح بذلك بسبب خطأ البرمجة النصية المتقاطعة. ولكن لماذا يُسمح للوصول عبر صفحة جانب الخادم. على سبيل المثال ، يمكننا استخدام حليقة في PHP للوصول إلى أي موقع.؟ لماذا هذه الميزة جيدة للبرمجة البرمجية الجانبية للخادم وليس موافق على البرمجة النصية من جانب العميل؟
المحلول
لأن البرنامج النصي الخبيث يمكنه فتح صفحة خارجية دون انشقاق المستخدم. على سبيل المثال تخيل نص غير آمن. إذا تم عرض محتويات مربع النص هذا للمستخدمين الآخرين ، فقد يحتوي على برنامج نصي يتصل بمضيف بعيد ويرسل معلومات مستخدم حساسة إليه. كل شيء يتلخص في: جانب الخادم -> أنت في التحكم ، من جانب العميل -> عام ، معرضة للإساءة.
نصائح أخرى
نرى:
في الحوسبة ، تعتبر سياسة الأصل نفسها مفهوم أمان مهم لعدد من لغات البرمجة من جانب المتصفح ، مثل JavaScript. تسمح السياسة البرامج النصية التي تعمل على صفحات ناشئة من نفس الموقع للوصول إلى أساليب وخصائص بعضها البعض دون قيود محددة ، ولكنها تمنع الوصول إلى معظم الأساليب والخصائص عبر الصفحات على مواقع مختلفة.
