Проблемы Ajax XML с проверкой XSS

Question

При использовании Ajax в веб-приложениях мы используем XML для передачи данных между сервером и клиентом. Однако проверка XSS входит в картину, Итак, вопросы 1. Передача XML, как это правильно? 2. Будем ли мы сталкиваться с проблемами безопасности, если отключим проверку XSS? 3. Может ли решение Ajax-запроса с заголовком (content-type = application / xml) решить эту проблему?

JSON также является хорошим подходом для передачи данных, но для вызова XSS. Так что же правильно и неправильно? Предложите несколько хороших практик. Пожалуйста, предоставьте ваш вклад для того же. Спасибо,

Answer 1

Я предпочитаю использовать JSON для этого; гораздо более легкий, чем XML, и, поскольку это объект javascript, становится тривиально использовать данные, возвращаемые в вашем обработчике событий. Только будьте осторожны, чтобы не вызывать () eval () вашего объекта JSON, так как это ставит под угрозу безопасность - см. Когда eval () JavaScript не является злом?

Что касается защиты XSS, то она не зря. Я понял из вашего поста, что код клиента размещен в другом домене, чем источник данных? Защита XSS вступает в силу, только если это так. Возможно, вы захотите взглянуть на JSONp, который был разработан для этого сценария, хотя он также имеет свой собственный набор проблем безопасности:

http://en.wikipedia.org/wiki/JSON#JSONP

Надеюсь, это поможет,

JS