0

好的,我刚刚做了一个测试,结果证明这并没有被浏览器阻止——我有点假设,因为它与加载 jquery 的方式相同,并且仍然可以访问它加载的数据:

我在这里有一个脚本: https ://securedomain.com/cookie_test.php - 它将 cookie 打印为 json

如果我在这里运行这个文件:http: //myotherdomain.com/cookie_test.php

javascript 加载此内容:

但由于相同的源策略,它不会加载 AJAX 请求

看起来为了在脚本标签中工作,它必须是一个有效的 js 语句,如:data={secure_data:true}

但如果我将其作为纯 JSON 执行,则会导致 javascript 错误:{secure_data:true}

那么我是否正确假设该文件中的数据输出是安全的,只要我以 json 格式输出 JUST json 吗?客户端浏览器上的任何其他站点都无法检索它?

4

1 回答 1

0

应该是,但如果您担心,您可以随时在 json 周围添加注释,将其作为 ajax 文本加载到浏览器中,恢复 javascript 中的注释,然后执行 JSON.parse。

从安全域的角度来看,以这种方式提供所有 cookie 看起来是个坏主意,因为它会杀死像 HttpOnly cookie 这样的明智的东西。

于 2012-10-03T04:53:33.890 回答