SORU
21 EKİM 2011, Cuma


Bunu kullanmak için güvenlidir $.destek.bir istasyondan = true; jQuery?

Farklı bir etki alanı jQuery ajax yöntemi kullanarak bir web hizmeti vurmaya çalışıyordum. Biraz araştırma yaptıktan sonra bu tasarımı ile çapraz site komut dosyası önlemek için izin yok gibi görünüyor.

Bu satırı dahil oldu geçici bir çözüm geldi:

$.support.cors = true;

javascript kodu biraz üstünde. Bu anladığım kadarıyla sağlayan bir WordPress kullanmak çapraz site komut dosyası.

Yok bu kod satırı sitem daha savunmasız hale saldırmak zorunda? Her zaman XSS güvenlik sorunu olarak ele duydum, XSS için meşru kullanan var mı?

CEVAP
23 EKİM 2011, Pazar


XSS jQuery etkin bir özellik değil. Çok olurduçokjQuery çekirdek XSS güvenlik açığı vardı, ama mümkün ve DOM-based XSS onun adı ise alışılmadık.

"Çapraz Kökeni Kaynak Paylaşımı" veya KÖŞELERİ XSS olarak aynı değilAMAeğer bir web uygulama XSS güvenlik açığı vardı , ama, sonra da bir saldırganın bir İSTASYONDAN gibi o etki alanındaki tüm kaynaklara erişimi yoktur. Kısacası, KÖŞELERİ same origin policy XSS açığı tam tanıtmama gerek yok böyle oynanır üzerinde kontrol sağlar.

$.support.cors sorgu özelliği Access-Control-Allow-Origin HTTP yanıt başlığını dayanır. Buolabilirbir güvenlik açığı. Eğer bir web uygulaması Access-Control-Allow-Origin: * Her sayfada olsaydı örneğin, daha sonra saldırgan XSS bir vulenrablity olarak aynı düzeyde erişim olurdu. Sana bir İSTASYONDAN başlıklarını tanıtmak ve * mümkün olduğunca uzak durun ne dikkatli olun.

Sorunuzun cevabı için:HAYIRweb uygulama aslaaccess-control-origin//çapraz etki alanı vekiller/jsonp KÖŞELERİ gibi SOP etrafında yolu vardır çünkü XSS güvenlik açığı tanıtmak gerekiyor.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Atlantic Records

    Atlantic Rec

    15 Aralık 2006
  • DeAdPiXel6667

    DeAdPiXel666

    2 Ocak 2010
  • jbignacio

    jbignacio

    13 Mart 2006