Richiesta di un sito Web tramite Client Side Script = Cross Side Scripting Hack. Ma richiedere un sito Web con lo script lato server non è un hack! Come mai?

Question

In generale, quando vogliamo mostrare il contenuto di una pagina Web nella stessa pagina, andiamo per le richieste AJAX. Se dicono, chiedo a una pagina Web in diversi domini con AJAX, non è consentito a causa dell'errore di script laterale incrociato. Ma perché è consentito accedere tramite una pagina laterale del server. Per EG possiamo usare Curl in PHP per accedere a qualsiasi sito. Perché questa funzione è OK per lo scripting lato server e non è OK per lo scripting lato client?

Answer 1

Perché uno script dannoso può aprire una pagina esterna senza la premessa dell'utente. Ad esempio, immagina un textarea insicuro. Se il contenuto di questa casella di testo viene mostrato ad altri utenti, potrebbe contenere uno script che si collega a un host remoto e invia informazioni sugli utenti sensibili ad esso. Tutto si riduce a: lato server -> hai il controllo, sul lato client -> pubblico, così soggetto ad abusi.

Answer 2

Vedere:

Stessa politica di origine

Nel calcolo, la stessa politica di origine è un importante concetto di sicurezza per un numero di linguaggi di programmazione lato browser, come JavaScript. La politica consente agli script in esecuzione alle pagine che provengono dallo stesso sito per accedere reciprocamente ai metodi e alle proprietà senza restrizioni specifiche, ma impedisce l'accesso alla maggior parte dei metodi e delle proprietà tra le pagine su siti diversi.