Solicitar un sitio web por script del lado del cliente = hack de secuencia de comandos laterales. ¡Pero solicitar un sitio web por script del lado del servidor no es un truco! ¿Por qué?

Question

En general, cuando queremos mostrar el contenido de alguna página web en la misma página, buscamos solicitudes AJAX. Si digo, solicito una página web en un dominio diferente con AJAX, no está permitido debido al error de secuencia de comandos del lado cruzado. Pero, ¿por qué se permite acceder a través de una página del lado del servidor? Para por ejemplo, podemos usar curl en PHP para acceder a cualquier sitio. ¿Por qué esta característica está bien para las secuencias de comandos del lado del servidor y no está bien para las secuencias de comandos del lado del cliente?

Answer 1

Porque un script malicioso puede abrir una página externa sin la premión del usuario. Por ejemplo, imagine una textura insegura. Si el contenido de este cuadro de texto se muestra a otros usuarios, puede contener un script que se conecta a un host remoto y le envía información confidencial del usuario. Todo se reduce a: Servidor -> Usted tiene el control, del lado del cliente -> público, tan propenso al abuso.

Answer 2

Ver:

Política de origen de la misma

En la informática, la misma política de origen es un concepto de seguridad importante para varios lenguajes de programación del lado del navegador, como JavaScript. La política permite que los scripts que se ejecutan en páginas originales desde el mismo sitio accedan a los métodos y propiedades de los demás sin restricciones específicas, pero evita el acceso a la mayoría de los métodos y propiedades en páginas en diferentes sitios.