私はこのクロスサイトスクリプティングの問題を認識していますが、ウェブ開発には新しいことがいくつかありました。XMLHttpRequestクロスサイトスクリプティング?
現在、私は、私は別のマシン上でのRESTful Webサービスに接続する私のPC上で書いたhtmlファイルをテストしています。私はstatus=0を取得しています。これはクロスサイトスクリプティングと見なされますか?
サーバーがjavascriptを使用してファイルをホストしていて、そのjavascriptファイルのサーバーのWebサービスにXMLHttpRequestがある場合、それは問題ないのですか?
これらの質問のいずれかが愚かな場合にはお詫び申し上げます。
いいえ、これはクロスサイトスクリプティングではありません。別のサーバーからスクリプトJSファイルをインクルードすると、サイトにレンダリングされるので、JSスクリプトが最初に配置されているXMLHttpRequestサイトにアクセスすることはできません。
それはjQueryのファイルをホスト誰よりも、可能な場合は、Googleを含む多くのサーバーがある、のXMLHttpRequestsのために開かれるでしょう。
そんなことはありません。
別のサーバーからのJSON応答を希望する場合は、pjsonを使用できます。それはGoogleの詳細情報です。
クロスサイトスクリプティングは、アクセスコントロールをバイパスするために、サイト上にJavaScriptコードを注入するときです。
status=0私にはさまざまなことがありますが、その点にどのように到達したかについて詳しく知ることなく、正確には何を意味するのかを判断することは非常に困難です。あなたはiframeを使用している可能性があり、他のコンピュータは状態が0であることを真に伝えることができます...わかりません。
一般的なルールは、JSがからであり、それはそれはがをロードされるデータを実行します問題ではないということです。これは、Google jsアーカイブAPIを可能にするものです(ご存じのとおり、https://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.jsをさまざまな場所に使用してください)。正直なところ、それはセキュリティの問題ではありません。
セキュリティ上の問題がIFRAMEの操作を通じてまたはXMLHTTPRequestを経由するかどうか、JSファイルが別のドメイン(あるいはサブドメイン)にアクセスしようとしたときに入っています。その時点で、ブラウザはスクリプトに「smackdownを置く」でしょう。 (| HTTPSからHTTP)、このための任意のインターネットプロトコルへ:
あなたは難易度ハードドライブからのJavaScriptとの通信(///ファイル)を持っています。
CORSを使用できます。あなたは今使っているのと同じコードを使うことができますが、ajax経由でページを要求した他のサーバーはそのページに次のヘッダーを送る必要があります。
Access-Control-Allow-Origin: http://yoursite.example.com
#or to allow all hosts
Access-Control-Allow-Origin: *
これは馬鹿馬鹿しい質問ではありません。 ;-)私は数日前に同じように自分自身に尋ねた。 –