Solicitando um site por script lateral do cliente = hack de script lateral cruzado. Mas solicitar um site por script lateral do servidor não é um hack! Por quê?

Question

Geralmente, quando queremos mostrar o conteúdo de alguma página da web na mesma página, optamos por solicitações de Ajax. Se, digamos, solicito a uma página da Web em domínio diferente com o AJAX, ele não é permitido devido ao erro de script do lado cruzado. Mas por que é permitido acessar através de uma página do lado do servidor. Por exemplo, podemos usar o CURL no PHP para acessar qualquer site.? Por que esse recurso está OK para scripts do lado do servidor e não está bem para o script lateral do cliente?

Answer 1

Porque um script malicioso pode abrir uma página externa sem a premissa do usuário. Por exemplo, imagine uma textarea insegura. Se o conteúdo desta caixa de texto for mostrado a outros usuários, ele poderá conter um script que se conecte a um host remoto e envia informações confidenciais do usuário a ele. Tudo se resume a: servidor -> Você está no controle, do lado do cliente -> público, tão propenso a abusos.

Answer 2

Ver:

Mesma política de origem

Na computação, a mesma política de origem é um importante conceito de segurança para várias linguagens de programação do lado do navegador, como o JavaScript. A política permite scripts em execução em páginas originárias do mesmo site para acessar os métodos e propriedades uns dos outros sem restrições específicas, mas impede o acesso à maioria dos métodos e propriedades nas páginas em diferentes sites.