某些浏览器(如 Chrome 和 Safari)不允许跨域请求,因为用户必须遵守同源安全策略。但允许这样做的真正风险是什么?我的意思是,如果没有同源安全策略,黑客能够进行什么样的攻击?
问问题
90 次
1 回答
0
好吧,实际上所有浏览器都遵守同源策略。原因是如果该政策不适用,在访问恶意网站时,该网站将基本上控制您的浏览器,可以使用任何活动会话和 cookie 等。您将能够向任何网站发出 ajax 请求人使用他的会话登录并执行几乎任何您想要的任务。您还可以向不同的端口发出请求,这些端口可能再次被滥用,被用来制造僵尸,以及其他数百种更有创意的人会想到的东西......
从本质上讲,您所有会话的完整性都会在访问任何站点时消失。
我建议阅读本文以详细解释该问题。
于 2013-09-20T14:01:19.853 回答