是否将对子域的AJAX调用视为跨站点脚本?
我有服务器A(www.example.com)将信息发送到服务器B。我只能在服务器A上使用HTML /
JS(并且必须在服务器B上执行“压缩”),所以我尝试通过以下方式发送表单数据AJAX(尝试避免将表单发布到服务器B-无需询问)。
显然,跨域进行AJAX调用被认为是XSS,是一个很大的禁忌,但是如果我将Server
B放在一个子域(sub.example.com)中,那可以吗?如何检测跨域错误?浏览器是否查找DNS记录?IP地址?
在此先感谢您的帮助。
问题答案:
子域被认为是不同的,除非两个子域都声明相同的DOM属性(即使那样,不同的浏览器的行为也不同),否则它们将通过“同源策略”失败document.domain。
-
问题内容: 我了解AJAX跨域策略。因此,我不能仅通过ajax HTTP请求调用“ http://www.google.com ”,并将结果显示在我的网站上。 我使用dataType“ jsonp”进行了尝试,这实际上可以工作,但是出现语法错误(显然是因为接收到的数据不是JSON格式的) 还有其他可能性可以从外部域接收/显示数据吗?iFrame是否遵循相同的政策? 问题答案: 使用AJAX获取跨域
-
问题内容: 我了解AJAX跨域策略。因此,我不能仅仅通过ajax HTTP请求调用“ http://www.google.com ”,并将结果显示在我的网站上。 我使用dataType“ jsonp”进行了尝试,这实际上可以工作,但是出现语法错误(显然是因为接收到的数据不是JSON格式的) 还有其他可能性可以从外部域接收/显示数据吗?iFrame是否遵循相同的政策? 问题答案: 使用AJAX获取跨
-
有人能解释为什么VeraCode认为使用作为公共属性是一个坏主意,并提出一个很好的缓解意见吗? 代码(JavaScript): 攻击矢量:名称 描述: ,对name()的调用包含跨站点脚本(XSS)漏洞。该应用程序使用不受信任的输入填充HTTP响应,从而允许攻击者嵌入恶意内容(如Javascript代码),这些内容将在受害者浏览器的上下文中执行。XSS漏洞通常被用来窃取或操纵cookie、修改内容
-
问题内容: 我有一个现有的jQuery插件,可以进行很多AJAX调用(主要是JSON)。我想知道最快允许它进行跨站点调用的方法,即$ .get和$ .post URL不会来自同一域。 我听说过JSONP,但是想知道是否有人可以给我一个具体的例子来介绍整个过程。如果可能,我希望对脚本进行最少的更改。我应该使用某种proxy.php吗? 感谢您的时间。 问题答案: JSONP将允许您进行跨站点调用。请
-
问题内容: 我需要从一个网站向另一个域中托管的REST Web服务发出AJAX请求。 尽管这在Internet Explorer中很好用,但是其他浏览器(例如Mozilla和Google Chrome)强加了更加严格的安全性限制,这些限制禁止跨站点AJAX请求。 问题是我无法控制站点所在的域或Web服务器。这意味着我的REST Web服务必须在其他地方运行,并且我无法采用任何重定向机制。 这是进行
-
问题内容: 我期待创建一个JavaScript API,其中包含facebook Javascript API提供的大多数功能。 我可以将脚本标签嵌入到远程网站中,并且需要执行从该页面到我的服务器的所有ajax调用。我正在创建一个体系结构,需要有人帮助他/她的出色思想来完成它。 问题答案: 看看https://github.com/facebook/facebook-js- sdk/blob/de