XSS验证的Ajax XML问题

Question

在Web应用程序中使用Ajax时，我们使用XML在服务器和客户端之间传输数据。然而，XSS验证进入图片， 所以问题是， 1.是否正确传递XML？ 2.如果关闭XSS验证，我们是否会遇到安全问题？ 3.可以通过头部传递Ajax请求（content-type = application/xml）来解决这个问题吗？

JSON也是传输数据但调用XSS的好方法。 那么什么是正确和不正确？建议一些好的做法。 请提供相同的意见。 谢谢，

Answer 1

我更喜欢使用JSON;比XML更轻量，并且由于它是一个javascript对象，使用事件处理程序中返回的数据变得微不足道。只是要小心，不要eval（）你的JSON对象，因为这会危及安全性 - 请参阅When is JavaScript's eval() not evil?

至于XSS保护，这是有充分理由的。我从你的帖子中看到，客户端代码托管在与数据源不同的域上？如果是这种情况，XSS保护才会生效。你可能想看看已针对这种情况开发JSONP，虽然它也带有一组自己的安全问题：http://en.wikipedia.org/wiki/JSON#JSONP

希望这有助于

JS