Demander un site Web par script côté client = hack de script Cross Side. Mais demander un site Web par script côté serveur n'est pas un hack! Pourquoi?
https://stackoverflow.com/questions/3023050
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Généralement, lorsque nous voulons afficher le contenu d'une page Web dans la même page, nous optons pour les demandes AJAX. Si je dis, je demande à une page Web dans un domaine différent avec AJAX, il n'est pas autorisé en raison de l'erreur de script du côté transversal. Mais pourquoi est-il autorisé à accéder via une page côté serveur. Pour EG, nous pouvons utiliser Curl en PHP pour accéder à n'importe quel site.? Pourquoi cette fonctionnalité est-elle correcte pour les scripts côté serveur et pas OK pour les scripts côté client?
La solution
Parce qu'un script malveillant peut ouvrir une page externe sans la prémission de l'utilisateur. Par exemple, imaginez une textarea peu sûre. Si le contenu de cette zone de texte est affiché à d'autres utilisateurs, il peut contenir un script qui se connecte à un hôte distant et y envoie des informations utilisateur sensibles. Tout se résume à: côté serveur -> Vous êtes en contrôle, côté client -> public, donc sujet aux abus.
Autres conseils
Voir:
En informatique, la même politique d'origine est un concept de sécurité important pour un certain nombre de langages de programmation côté navigateur, tels que JavaScript. La stratégie permet aux scripts exécutés sur des pages provenant du même site pour accéder aux méthodes et propriétés de l'autre sans restrictions spécifiques, mais empêche l'accès à la plupart des méthodes et propriétés entre les pages sur différents sites.
