默认情况下,浏览器不允许跨站点AJAX请求。为什么跨域AJAX请求被标记为“安全风险”?
据我所知,一个不好设想的跨域请求可能是一个安全风险。如果我采用html或外部网站的javascript,并将其“呈现”到我的网站中,那就是一个问题。这个外部代码可以用于很多不好的事情 - 比如访问当前用户的会话数据。
但如果我只请求JSON或XML数据,我用一个正确的库来解析JSON(不只是使用eval)我怎么也想不到,这将是一个安全隐患。可能发生的更糟的是,来自该网站的内容无法正确呈现。
我错过了什么?简单地通过发送一些恶意数据来破坏读取json/xml的页面是否可能?
的风险是不是发出请求的网站。
例如:
简而言之,它可以防止攻击者从任何Alice拥有凭据的站点(以及防火墙之后的站点,例如Alice的企业Intranet)读取私人数据。
请注意,这不会阻止不依赖于能够从站点读取数据的攻击(CSRF),但是如果没有相同来源策略,标准防御对抗CSRF将很容易被破坏。
你与你的第二点重新JSON/XML绝对正确的。在采取适当的预防措施时,从另一个域接收JSON没有风险。即使服务器决定返回一些令人讨厌的脚本,您也可以通过适当的数据解析来有效地管理风险。事实上,这正是JSONP攻击如此受欢迎的原因(例如,请参阅twitter的搜索API)。
已经我们看到HTML5兼容的浏览器引入了跨域通信新的对象和标准(的postMessage - http://dev.w3.org/html5/postmsg/和跨来源资源共享 - http://www.w3.org/TR/cors/)。
'默认情况下,浏览器不允许跨站点requests.'这句话需要一点抛光。你在谈论XHR吗?你在说cookie吗?因为通常浏览器允许跨域请求:可以使用指向远程域的锚点或表单,并且当用户点击此链接时,跨域请求将毫无问题地执行。 – 2012-02-10 13:01:30
可能的重复http://stackoverflow.com/q/9222822和http://stackoverflow.com/q/9169038 – Gumbo 2012-02-10 13:04:08
@DarinDimitrov你是对的。我改变了这句话。 – kikito 2012-02-10 16:14:32