试图弄清楚为什么只有 javascript 代码只能回调到托管页面的同一域,并且我知道您不希望代码将个人详细信息等发送到另一个域(可能是恶意站点)。
但是,如果其他域将 crossDomain.xml 文件放在他们的服务器上,这是否意味着恶意站点现在可以接受调用?
你可以猜到我对它的工作原理有一个基本的了解,所以任何帮助都将不胜感激。
问问题
170 次
1 回答
2
如果站点 A 发布了一个合适的 crossDomain.xml 文件,那么站点 B 可以使用 Adobe Flash 从站点 A 读取数据。这与 JavaScript 无关。
JavaScript 等价物是CORS。
在任何一种情况下,给予的许可都应该是:
- 对于非机密数据
- 到受信任的网站
在第一种情况下,如果站点 B 是恶意的,那么它就不会对数据做任何坏事。第二,Site A的开发者在信任Site B方面犯了严重错误。
于 2012-06-12T09:03:45.333 回答