“插入Javascript”;“小部件”;到远程站点
我想为我的web应用程序的用户提供一种方法,使用Javascript在他们自己的网站上添加各种各样的小部件。我一直在研究如何最好地实现这一点,XSS似乎是唯一真正可行的方法,但似乎主流浏览器实际上会将其作为安全威胁加以阻止。我可以使用什么替代方案?当然,用户自己正在安装代码段,这一切都是有权限的 我一直遵循的教程如下所示:“插入Javascript”;“小部件”;到远程站点,javascript,xss,Javascript,Xss,我想为我的web应用程序的用户提供一种方法,使用Javascript在他们自己的网站上添加各种各样的小部件。我一直在研究如何最好地实现这一点,XSS似乎是唯一真正可行的方法,但似乎主流浏览器实际上会将其作为安全威胁加以阻止。我可以使用什么替代方案?当然,用户自己正在安装代码段,这一切都是有权限的 我一直遵循的教程如下所示: 但是我认为这样的请求已经不可能了,对吗?目前最好的解决方案是CORS方法。尼古拉斯·扎卡斯(Nicholas Zakas)在他的文章中对此做了很好的解释:跨域导入JavaS
但是我认为这样的请求已经不可能了,对吗?目前最好的解决方案是CORS方法。尼古拉斯·扎卡斯(Nicholas Zakas)在他的文章中对此做了很好的解释:跨域导入JavaScript代码本身并没有什么问题。我想我读到chrome和其他浏览器会阻止它?人们总是这样做;例如,从Google URL中提取像jQuery这样的库是非常常见的。我想我们谈论的是稍微不同的事情。我所遵循的XSS教程有特定于XSS的特殊服务器请求和响应。我想我也可以做同样的事情。术语“XSS”是指利用页面模板(等等)中的漏洞来攻击网站。它并不是真正用来指合法的活动。