クライアントサイドスクリプトによるウェブサイトのリクエスト=クロスサイドスクリプトハック。ただし、サーバーサイドスクリプトごとにWebサイトをリクエストすることはハックではありません!なんで?
-
26-09-2019 - |
質問
一般的に、同じページのいくつかのWebページの内容を表示したい場合は、Ajaxリクエストを使用します。たとえば、AJAXを使用して異なるドメインのWebページにリクエストすると、クロスサイドスクリプトエラーのために許可されません。しかし、なぜサーバーサイドページを介してアクセスできるのか。たとえば、PHPでCurlを使用して任意のサイトにアクセスできます。なぜこの機能はサーバーサイドスクリプトでOKであり、クライアントサイドスクリプトではOKではないのですか?
解決
悪意のあるスクリプトは、ユーザーの前提なしに外部ページを開くことができるためです。たとえば、不安定なテキストを想像してください。このテキストボックスの内容が他のユーザーに表示されている場合、リモートホストに接続して敏感なユーザー情報を送信するスクリプトが含まれている場合があります。それはすべて、サーバー側 - >あなたはコントロールしている、クライアント側 - >公開されているので、乱用する傾向があります。
他のヒント
見る:
コンピューティングでは、同じオリジンポリシーがJavaScriptなどの多くのブラウザー側のプログラミング言語にとって重要なセキュリティ概念です。ポリシーでは、同じサイトから発信されるページで実行されるスクリプトを許可し、互いのメソッドとプロパティに特定の制限なしにアクセスできますが、異なるサイトのページにまたがるほとんどのメソッドとプロパティへのアクセスを防ぎます。
所属していません StackOverflow