由于ajax技术禁止跨域访问,因此,受到同源策略影响,不同域名不能进行ajax请求。但是,开发人员有时候又需要这样做,于是,出于方便的需要,他们很有可能通过document.domain="a.com"将网站的域设置后,这样,该网站的子域名就可以跨域请求,但是,这样,造成的安全漏洞提供了跨域攻击的可能。
根据窗口引用的同源策略,可以做出跨域脚本注入的实验如下:
在自己的腾讯微博发出一条连接如下:http://www.qq.com。由于开发人员设置document.domain="qq.com",因此,在这个t腾讯首页页中可以对微博页面进行脚本注入。在这个页面上运行javascript代码:window.opener.alert(“你是SB”);可以看到腾讯微博页面有弹框出现。
分享到:
相关推荐
ajax跨域调用wcf实例
一个c# ajax跨域的demo,解决c# ajax 跨域的问题
ajax跨域操作,ajax跨域必须要前端和服务端指定共同规则,文档有列出操作实例。
可以将book.aa.com用iframe添加到 www.aa.com的某个页面下,在www.aa.com和iframe里面都加上document.domain = "aa.com",这样就可以统一域了,可以实现跨域访问。就和平时同一个域中镶嵌iframe一样,直接调用里面的...
本资源主要介绍了AJAX跨域的解决办法,以及解决方案间的比较
解决ajax跨域问题
怎样实现Ajax 跨域访问的五种方法, 怎样实现Ajax 跨域访问的五种方法
ajax跨域
Spring Boot 使用 Redis 进行配置 Session 共享(Ajax 跨域) 源码下载。
使用juery提交表单,实现ajax跨域请求
解决ie8、9Ajax跨域问题(前端):jsp引入此js,Jquery Ajax正常写
Ajax跨域问题及其解决方案.docx
在收集AJAX面试题的时候其实就已经有过AJAX跨域的问题的了,当时候知道了为什么会存在跨域,以及跨域解决的方案有哪些,今天随着课程的学习,又加深了AJAX跨域的理解,以此记录下来。
Ajax跨域提交
利用JQuery jsonp实现Ajax跨域请求 .Net 的*.handler 和 WebService,返回json数据
Ajax跨域问题详解,包括详解内容、java代码、nginx等详细信息,可以直接运行
你需要获取其他网站的数据吧,ajax跨域获取数据帮你实现。
cors跨域需要的cors-filter-1.7.1.jar和java-property-utils-1.9.1.jar,一个拦截器配置文件
ajax跨域请求,jsp页面+后台实例。