6

我一直在考虑构建一种服务,该服务将使用与 Google CSE 使用的类似方法 - https://developers.google.com/custom-search/docs/js/rendering 我无法理解 Google 是如何解决的XSS。是因为他们托管了能够写入 DIV 的 JS 文件吗?他们是否使用 CORS 标头?如果您有使用此模式的经验,请分享您的意见。

4

1 回答 1

0

它使用同源请求和 jsonp 的组合。它通过<script>标签请求 www.googleapis.com/customsearch/v1element 和 www.google.com/uds,然后允许这些脚本分别从 www.googleapis.com 和 www.google.com 请求。

于 2013-04-24T10:48:45.003 回答