“同源策略”和脚本从谷歌下载 - 脆弱的解决方案吗?
-
21-09-2019 - |
题
我在SO“ jQuery的链接与下载”,我读到这里的问题不知何故不明白这一点。
如果你的主机上http://yourserver.com
一个页面,但是从http://ajax.googleapis.com
负荷jQuery库,然后使用jQuery脚本定义的函数,会发生什么?
不“同源策略”在此情况下,算不算?我的意思是,你可以让AJAX调用回http://yourserver.com
?点击
是JavaScript正在执行视为由yourserver.com
来?
在这里我想说的是,你不知道什么是用户已经从一些第三方服务器(对不起,谷歌)下载,仍然是他的计算机上执行的代码是不如一个,他会从你的服务器上下载<? / p>
编辑:这是否意味着_that如果我使用一个网统计从第三方不知很好对付,他们可能会“注入”一些代码,调用到我的网络服务,如果他们的代码是一部分矿的吗
解决方案
站点的所有者 http://yourserver.com/ 应该相信内容从其他服务器它的引用(在这种情况下,谷歌的)。同源策略并不适用于“脚本”标签。
当然,外部服务器(一旦加载)具有访问整个DOM的脚本:。所以,如果外部内容被破坏,可以存在安全风险
与在网络世界很多东西,把它归结为信任并持续管理。
修改强>:
这是否意味着_that如果我使用一个网络 统计数据从第三方I计数器 不知道得非常好,他们可能 “注入”一些代码,调用到我 Web服务作为他们的代码是否是部分 的矿
是
其他提示
接听编辑点评:是的。除非计数器被包裹在一个iframe标签,这是因为如果它是你的网站的一部分,并可以调用到网络服务,访问你的饼干等。
是,该政策并不适用于<script>
标签。
如果有人能够破解谷歌的脚本商店,它会影响从每一个域提供的每一页,使用google.com作为其主机的脚本。