Anfordern einer Website nach Client Side Script = Cross Side Scripting Hack. Das Anfordern einer Website nach Server -Seitenskript ist jedoch kein Hack! Wieso den?

Question

Wenn wir den Inhalt einer Webseite auf derselben Seite zeigen möchten, entscheiden wir im Allgemeinen AJAX -Anfragen. Wenn ich sagen soll, bitte ich auf eine Webseite in verschiedenen Domain mit AJAX, ist dies aufgrund des Cross -Side -Skriptfehlers nicht zulässig. Aber warum darf es über eine serverseitige Seite zugreifen? Für EG können wir Curl in PHP verwenden, um auf eine Website zuzugreifen. Warum ist diese Funktion für Server -Seiten -Skripte in Ordnung und nicht für Client -Side -Skripts?

Answer 1

Weil ein bösartiges Skript eine externe Seite ohne Vorsitz des Benutzers öffnen kann. Stellen Sie sich zum Beispiel einen unsicheren Textbereich vor. Wenn der Inhalt dieses Textfelds anderen Benutzern angezeigt wird, kann er ein Skript enthalten, das eine Verbindung zu einem Remote -Host herstellt und sensible Benutzerinformationen an diese sendet. Alles läuft auf: serverseitig -> Sie haben die Kontrolle, clientseitig -> öffentlich, also anfällig für Missbrauch.

Answer 2

Sehen:

Gleiche Ursprungsrichtlinie

Bei der Rechnung ist dieselbe Ursprungsrichtlinie ein wichtiges Sicherheitskonzept für eine Reihe von Programmiersprachen mit Browser-Seite, wie z. B. JavaScript. Die Richtlinie ermöglicht Skripte, die auf Seiten, die von derselben Website stammen, mit den Methoden und Eigenschaften desselben ohne spezifische Einschränkungen ausgeführt werden, verhindert jedoch den Zugriff auf die meisten Methoden und Eigenschaften über Seiten auf verschiedenen Standorten hinweg.