«Политика одинакового происхождения» и скрипты, загруженные из Google - уязвимое решение? - PullRequest
Новая
       17

«Политика одинакового происхождения» и скрипты, загруженные из Google - уязвимое решение?

10 голосов
/ 19 января 2010

Я читаю вопрос здесь в SO " jQuery Linking vs. Download ", и я почему-то не понимаю.

Что произойдет, если вы разместите страницу на http://yourserver.com,но загрузить библиотеку jQuery из http://ajax.googleapis.com, а затем использовать функции, определенные в сценарии jQuery?

Не учитывается ли в этом случае "та же самая политика происхождения"?Я имею в виду, можете ли вы сделать AJAX-вызовы обратно на http://yourserver.com?
Считается ли выполняемый JavaScript исходящим из yourserver.com?

Суть в том, что вы не знаете, что загрузил пользовательс какого-либо стороннего сервера (извините, Google), и все же код, выполняемый на его компьютере, так же хорош, как тот, который он загружал бы с вашего сервера?

РЕДАКТИРОВАТЬ: означает ли это, что если я используюсчетчик веб-статистики от третьих лиц, которого я не очень хорошо знаю, они могли бы «внедрить» некоторый код и вызвать в мои веб-службы, как если бы их код был частью моего?

Ответы [ 3 ]

6 голосов
/ 19 января 2010

Владелец сайта http://yourserver.com/ должен доверять контенту, на который он ссылается с других серверов (в данном случае, Google). Та же политика происхождения не применяется к тегам «script».

Конечно, скрипты внешних серверов (после загрузки) имеют доступ ко всему DOM: так что, если посторонний контент скомпрометирован, могут возникнуть угрозы безопасности.

Как и во многих других вещах в мире Интернета, речь идет о доверии и непрерывном управлении.

Редактировать

Означает ли это, что если я использую веб счетчик статистики от стороннего I не очень хорошо, они могли бы «ввести» некоторый код и позвонить в мой веб-сервисы, как будто их код был частью мой?

Да.

2 голосов
/ 19 января 2010

Ответ на комментарий редактирования: Да. Если счетчик не был заключен в тег iframe, он выглядит так, как если бы он был частью вашего веб-сайта и может вызывать ваши веб-службы, получать доступ к файлам cookie и т. Д.

1 голос
/ 19 января 2010

Да, политика не распространяется на <script> теги.

Если кто-то сможет взломать хранилище скриптов Google, это повлияет на каждую страницу, обслуживаемую каждым доменом, который использует google.com в качестве своего хоста для скриптов.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...