一尘不染

使用跨域XMLHttpRequest有哪些安全风险?

ajax

在许多地方,我已经看到人们谈论过跨域XMLHttpRequest,由于某些 安全原因 ,这是不可能的。但是,我还没有找到表明这些 安全原因
实际上是什么的帖子?

人们提到JSONP是不错的选择之一。另一种选择是使用OriginAccess-Control-Allow-Origin标头。

但是,我只想知道由于跨域XMLHttpRequest的使用会引起哪些安全问题?


阅读 147

收藏
2020-07-26

共1个答案

一尘不染

我认为最好回答您的问题的示例,为什么这太糟糕了。

您转到我的网站(example.org)。我加载了一个脚本,该脚本向facebook.com/messages/from/yourgirlfriend发出客户端AJAX请求。您碰巧登录了facebook,浏览器告诉Facebook我的请求实际上是您。Facebook很高兴向我发出请求,告知您您想尝试的奇怪性行为的消息。我现在知道有关您的事情,您可能不想让我知道。

当然,这是一个疯狂的夸张,而且由于相同的原产地政策,这是不可能的。

你现在不觉得安全吗?

2020-07-26