Ajax 小部件是如何使用的;http://sharethis.com/" 进行看似XSS的调用
像这样的工具如何能够对中心站点进行ajax风格的回调?基本上他们给你一个“将标签放在您的站点上的任何位置。因此,在这个小部件中,您可以请求为当前页面发送电子邮件。我想这会让一个ajax风格的电话回传给发送电子邮件的人。但是,如果没有服务器上的代理,浏览器又不将其作为XSS漏洞加以阻止,他们怎么能做到这一点呢 如果您对此有任何疑问,我们将不胜感激。谢谢您的帮助。我假设使用Flickr API也会面临同样的挑战Ajax 小部件是如何使用的;http://sharethis.com/" 进行看似XSS的调用,ajax,xss,exploit,Ajax,Xss,Exploit,像这样的工具如何能够对中心站点进行ajax风格的回调?基本上他们给你一个“将标签放在您的站点上的任何位置。因此,在这个小部件中,您可以请求为当前页面发送电子邮件。我想这会让一个ajax风格的电话回传给发送电子邮件的人。但是,如果没有服务器上的代理,浏览器又不将其作为XSS漏洞加以阻止,他们怎么能做到这一点呢 如果您对此有任何疑问,我们将不胜感激。谢谢您的帮助。我假设使用Flickr API也会面临同样的挑战 标题链接:他们为您提供了一个要包含在站点中的脚本。此脚本具有对DOM和cookie的完全
标题链接:他们为您提供了一个要包含在站点中的脚本。此脚本具有对DOM和cookie的完全访问权限。为了让it回拨到他们的站点,他们使用了一种称为JSONP的技术。您包含的脚本在querystring中添加了另一个带有参数的脚本。然后服务器返回JSON(只是JavaScript),并提取数据
如果你正在构建mashup,你必须相信这些小部件不会做一些恶意的事情,比如偷你的cookie。IE 8将更好地支持安全XSS。答案是,出于某种原因,浏览器只会阻止XmlHttpRequests到源服务器以外的服务器。您可以自由地使用SRC指向任何地方的标记,这样的脚本标记当然可以动态插入到DOM中。您甚至不需要使用JSON 您可以使用脚本标记从任何域检索javascript代码,因此这些小部件中的许多都只是创建一个脚本节点,响应的格式如下:
someFunction("Callback Data");