4

我需要一个可以绕过大多数现代浏览器实现的“同源策略”的 javascript 表单填充器。

我制作了一个脚本,可以在新浏览器中打开所需的网站/表单。使用 window.open 方法返回的处理程序,我想用 theWindowHandler.document.getElementById('inputx') 检索输入并填充它们(访问被拒绝)。

是否可以通过在 IIS 6 中像反向代理一样使用 Isapi Rewrite(官方网站)来解决这个问题?如果是这样,我将如何配置反向代理?

这是我走了多远:

RewriteEngine on
RewriteLogLevel 9
LogLevel debug 

RewriteRule CarChecker https://the.actualcarchecker.com/CheckCar.aspx$1 [NC,P]

重写工作,http://ourcompany.com/ourapplication/CarChecker,在日志中很明显。在我们的公司网站内,我可以像在我们自己的域中一样运行 carchecker。除此之外,“同源政策”仍然有效。

更新

我停止使用 Isapi Rewrite,因为免费版本不包含代理组件。我开始使用Managed Fusion的url 重写器。

我目前的工作重写:

RewriteRule /MySecuredSite/CarChecker https://the.actualcarchecker.com [NC,P]

现在我收到错误:底层连接已关闭:无法为 SSL/TLS 安全通道建立信任关系。

我认为这是因为我们的ssl 证书被传递到了 carchecker 站点。如何配置反向代理以便传递 carchecker 站点的证书?

问候,

米歇尔

4

3 回答 3

1

在不知道更多细节的情况下,我决定列出您面临的一些限制以及您可以利用的一些技巧可能会有所帮助:

  1. 我不是 ASP 开发人员,但我知道,正如您所提到的,有某种 viewstate 变量必须与 ASP 表单一起提交。我假设可以仅使用要重新提交的表单字段来验证此视图状态。这就是我所期望的(除非它非常复杂),因为浏览器接收的表单就是它发回的所有内容(连同值)。所以重点是,当您提交到 aspx 页面时,您需要一个有效的视图状态,但也许您可以从服务器获取您想要的任何视图状态,只要您提交的表单字段相同。

  2. 您可以编写一个网页,其行为就像您的浏览器一样。它可以抓取 aspx 页面(从而建立有效的视图状态),然后您可以创建 POST 到 aspx 页面所需的所有字段,包括视图状态,然后执行此操作。无论结果如何,都可以从您的网页返回到浏览器。除非您有能力修改其他服务器,否则我现在真的看不到其他选项,但也许其他人可以提供更多帮助。

  3. 如果您可以修改其他服务器,那么您还有其他一些选择。其中之一涉及在 iframe 之间传递数据的技巧。如果您使用隐藏的 iframe 来获取 aspx 页面,那么由于跨域限制,您将无法将结果返回到父页面。但由于您可以修改其他服务器(在 the.actualcarchecker.com 上运行),因此您可以绕过这个问题。为此,只需让该服务器提供 JavaScript 以异步提交表单,然后将结果(序列化为字符串)设置为 window.name。

    现在要从您的域访问 window.name,您将 iframe 的 window.location 设置为您域上的一个页面,该页面将简单地调用您在父窗口中加载的 JavaScript 中编写的函数。像 window.parent.process(window.name)。由于 iframe 在您的域上加载了一个页面,因此它可以访问 window.name,即使您更改了窗口位置,该页面也不会更改。然后父窗口中的 process() 函数可以反序列化字符串、移除隐藏的 iframe、显示结果、做任何你想做的事情等。

  4. 除非您在其他域的服务器上执行类似的技巧,否则您将无法填充在隐藏 iframe 中加载的 aspx 表单。该服务器的 JavaScript 将需要从 window.name 读取以接收用于填充表单的输入。但是,如果两台服务器都在使用技巧,那么您不必编写代理,您可以通过 window.name 传递数据。

于 2010-09-23T17:51:07.553 回答
0

您使用的是哪种服务器端语言?使用它,您可以创建一个可以轻松绕过一个域策略的代理...

PHP

<?php
    $handle = fopen("https://the.actualcarchecker.com/CheckCar.aspx", "r");
    $contents = '';
    while (!feof($handle)) {
        $contents .= fread($handle, 8192);
    }
    fclose($handle);
    echo $contents;
?>

我想这将是与其他语言类似的过程。

于 2010-09-22T08:18:00.757 回答
0

为什么不使用 JSONP 方法呢?即使用 JavaScript 读取输入表单的值,并通过动态生成的<script>元素将其发送到服务器端处理程序(<script>并且img元素可以引用来自外部域的资源)。

var e = document.createElement("script");
e.setAttribute("type", "text/javascript");
e.setAttribute("src", "https://the.actualcarchecker.com/CheckCar.aspx?input1=value1&input2=value2");
document.getElementsByTagName('head')[0].appendChild(e);

如果您使用这种方法,您可能根本不需要任何严重的 URL 重写 - 只需确保 CheckCar.aspx 返回有效的 JSON。

JQuery 甚至为此提供了几个方便的功能:如果请求是跨域的,AFAIK $.getJSON 将透明地从 XHR 切换到动态脚本插入方法。此外,它支持指定回调。有关更多信息,请参阅jQuery 文档这篇IBM 文章。

这种方法对你有用吗?

于 2010-09-27T07:58:00.137 回答