使用 Javascript 框架的跨站点脚本[关闭]

【问题标题】:Cross-site scripting with Javascript framework [closed]使用 Javascript 框架的跨站点脚本[关闭]
【发布时间】:2014-07-26 02:01:44
【问题描述】:

我们正在考虑使用 Javascript 框架 GUI 和 Java 后端来实现我们的新模块。 计划是我们从 GUI 调用 Ajax 调用以从后端获取数据。

我们担心的是(由于我们缺乏经验)如果我们将 GUI 部署到 http://server1 并将 Java 后端部署到 http://server2,那么从 server1 到 server2 的相关 Ajax 调用不符合跨站点脚本的条件吗? 我们如何在 javascript 框架中防止这种情况发生?

(我们正在研究 Angular、Knockout、Ember.js 等)

【问题讨论】:

    标签: angularjs knockout.js ember.js xss javascript-framework


    【解决方案1】:

    看看CORS(跨域资源共享)http://en.wikipedia.org/wiki/Cross-origin_resource_sharing

    您基本上需要在来自 Web 服务的响应的标头中指定允许哪些引用。

    例如:

    Access-Control-Allow-Origin: http://server1

    【讨论】:

    • 谢谢!这是个好的观点。我唯一担心的是,为什么攻击者不能在他们调用的服务器上执行此操作?还是我很困惑? :)
    • 来自服务器的响应由您自己编写的应用程序控制。 Access-Control-Allow-Origin 标头位于 来自 服务器的响应中,而不是相反。但是,对标头的实际检查是浏览器的一项安全功能。可能也值得检查兼容性:caniuse.com/#search=cors
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-10-22
    • 1970-01-01
    • 1970-01-01
    • 2013-02-22
    • 1970-01-01
    • 2011-06-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode