我正在使用以下内容:
<script type="text/javascript" src="/php/dictionary.php">
</script>
dictionary.php 是一个输出 JavaScript 代码的 PHP 脚本。我使用 dictionary.php 生成 JavaScript 的原因是 JavaScript 中的某些值取决于区域设置和用户。
我想知道这种技术是否与直接使用 Javascript 文件一样安全?
问问题
226 次
2 回答
3
不,这不安全,因为您希望为不同的用户提供不同的脚本。该脚本将被缓存,因此用户可能会为之前在同一台计算机上登录的其他用户获取脚本。
如果您需要它是安全的,请为登录用户生成一个代码,并在您请求脚本时将其发送到查询字符串中,以便您可以验证正确的用户是否获得了脚本。由于 URL 会有所不同,因此也会单独缓存。
于 2012-07-17T18:01:20.423 回答
1
Javascript 只会影响客户端。除非您在 .php 文件中公开影响其他用户的客户端操作,否则可能会滥用跨站点脚本,否则应该没问题。
参考:http ://en.wikipedia.org/wiki/Cross-site_scripting
这是安全的,因为他们可能追求的任何潜在漏洞只会影响客户端,因为从 Javascript 调用的所有服务器端文件也都已为安全性打了补丁。
于 2012-07-17T17:48:02.737 回答