HTML / Javascript: отслеживание обратного вызова на внешний сайт

Question

Мне нужно найти способ уведомить сторонний веб-сайт о действиях пользователя на моем веб-сайте. Соединение на стороне сервера нежелательно. Хеширование с закрытыми ключами используется для подписи запроса, поэтому пользователи не могут злоупотреблять им.

У меня вопрос, как я могу безопасно отправить этот запрос.

• отслеживание изображения: возможно XSA
• iframe: XSA, размыкатель кадра
• сценарий включает в себя: зло в лучшем виде
• JSONP (с jQuery): ??
• другие

Кто-нибудь знает, возможно ли добавить Javascript в ответы JSONP? Я хочу обойти границы браузера. JSONP - это Javascript, который вызывает функцию с JSON в качестве параметра, но он также может содержать другие вызовы javascript. JQuery каким-то образом проверяет наличие вредоносного содержимого в обратных вызовах jsonp?

Answer 1

Если вам нужно настроить таргетинг только на современные браузеры и вы управляете всеми доменами, вы можете создать политику контроля доступа HTTP, чтобы они могли взаимодействовать друг с другом. Однако, поскольку это не так, вы застрянете с JSONP.

Забавно, что вы упоминаете «сценарий включения» как «зло в лучшем виде», потому что это именно то, чем является JSONP. Поскольку до недавнего времени браузеры были неспособны к междоменным запросам, единственным способом получить что-либо от сторонней клиентской стороны было включить скрипт от этой третьей стороны. JSONP просто использует этот обходной путь, возвращая JSON внутри определения функции, которое затем может вызвать ваш скрипт для получения включенных данных.