Запрос веб-сайта с помощью клиента Script = Crest Side Scripting Hack. Но запрашивая веб-сайт Server Side Script не хак! Почему?
https://stackoverflow.com/questions/3023050
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Как правило, когда мы хотим показать содержимое какой-то веб-страницы на одной странице, мы идем на запросы AJAX. Если сказать, я прошу просьбу на веб-страницу в разном домене с ajax, она не допускается из-за погрешности скрипсировки кросс-боковой сценарии. Но почему разрешено доступ через страницу бокового сервера. Например, мы можем использовать Curl в PHP для доступа к любому сайте. Почему эта функция OK для Server Signy Scripting и не в порядке для сценариев на стороне клиента?
Решение
Поскольку злобный сценарий может открыть внешнюю страницу без премии пользователей. Например, представьте себе небезопасную текстура. Если содержимое этого текстового поля отображается другим пользователям, он может содержать скрипт, который подключается к удаленному хосту и отправляет к нему конфиденциальную информацию о пользователе. Все сводится к: Server-Side -> Вы находитесь в контроле, на стороне клиента -> публика, так склонны к злоупотреблению.
Другие советы
Видеть:
В вычислениях такая же политика происхождения является важной концепцией безопасности для ряда языков программирования на стороне браузера, таких как JavaScript. Политика позволяет скрипты, работающие на страницах, происходящих с одного и того же сайта, чтобы получить доступ к способам и свойствам друг друга без конкретных ограничений, но предотвращает доступ к большинству методов и свойств между страницами на разных сайтах.
