“Та же политика источника” и сценарии, загруженные из Google - уязвимое решение?

Question

“Та же политика источника” и сценарии, загруженные из Google - уязвимое решение?

Я считал вопрос здесь в ТАК "jQuery, Связывающемся по сравнению с Загрузкой", и я так или иначе не получаю его.

Что происходит, если Вы размещаете страницу на http://yourserver.com, но загрузите библиотеку jQuery из http://ajax.googleapis.com и затем используйте функции, определяемые в сценарии jQuery?

"Та же политика источника" не рассчитывает в этом случае? Я имею в виду, можете, Вы сделать Ajax перезваниваете к http://yourserver.com?
JavaScript, выполняемый рассмотренный как прибывающий из yourserver.com?

Моя точка здесь, Вы не знаете то, что пользователь загрузил с некоторого стороннего сервера (извините, Google), и тем не менее код, выполняющийся на его компьютере, так же хорош как тот, который он загрузил бы с Вашего сервера?

Править: Это означает _that, если я использую веб-счетчик статистики от третьей стороны, я не знаю очень хорошо, они могли бы "ввести" некоторый код и вызов в мои веб-сервисы, как будто их код был моей частью?

10

security browser same-origin-policy

задан Community 23 May 2017 в 10:33

3 ответа

Ответы на редакцию комментариев: Да. Если счетчик не был завернут в тег Iframe, так как будто это была часть вашего веб-сайта и может позвонить в ваши веб-сервисы, получить доступ к файлам файлов cookie и т. Д.

2

ответ дан 4 December 2019 в 01:57

Да, политика не применяется к


  
    
      
        

          © 2017 - 2020 Вопросы и ответы по программированию

score 6 · Accepted Answer

Да, политика не применяется к < сценарий > тэгов.

Если бы кто-то смог взломать хранилище сценариев Google, это повлияло бы на каждую страницу, обслуживаемую из каждого домена, который использует google.com в качестве хоста для сценариев.

-121--3171176-

При необходимости выделения виртуального файла в exe необходимо создать вектор, поток или массив символов, достаточно большой для хранения всех виртуальных данных, которые требуется записать.

это единственное решение, которое я могу придумать без ввода-вывода на диск (даже если вы не записываете в файл).

Если вам нужно сохранить файл, как синтаксис пути, просто напишите класс, который имитирует это поведение и вместо записи в файл записать в буфер памяти. Все так просто, как только получается. Помни KISS.

Ура

-121--2470130-

Владелец сайта http://yourserver.com/ должен доверять контенту, на который он ссылается с других серверов (в данном случае, Google). Та же политика происхождения не применяется к тэгам «» script «».

Конечно, скрипты иностранных серверов (после загрузки) имеют доступ ко всему DOM: так, если зарубежный контент скомпрометирован, могут быть воздействия безопасности.

Как и в случае со многими вещами в Интернете, это сводится к доверию и непрерывному управлению.

Изменить :

Означает ли это _that, если я пользуюсь веб-сайтом счетчик статистики от третьей стороны I не очень хорошо знают, могут «вживить» какой-нибудь код и позвонить в мой веб-сервисы, как если бы их код был частью моего?

Да.