javascript - 为什么通过 JavaScript 从浏览器向本地主机发出的请求不会被阻止?

标签 javascript angularjs xss cross-site

webui-aria2是一个允许从浏览器通过 rpc 方法控制 aria2(强大的下载工具)的工具。

使用http://ziahamza.github.io/webui-aria2/ ,只要使用 --enable-rpc 选项启动应用程序,就可以控制 aria2。 aria2 基本上启动了一个监听 localhost:6800 的 HTTP 服务器。

很好,但令我惊讶的是浏览器(webkit 和 gecko)允许 github.io 上托管的页面向本地主机发出请求。怎么会这样呢?这不是一个严重的漏洞吗?

最佳答案

github.iolocalhost 发出的请求将被像任何其他跨源请求一样对待。

嵌入在网站上的 JavaScript 无法跨源读取数据,除非:

  • 通过 CORS 给予明确许可
  • 使用了诸如 JSONP 之类的 hack

大概服务器使用了其中一种技术。

关于javascript - 为什么通过 JavaScript 从浏览器向本地主机发出的请求不会被阻止?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32403748/

上一篇:javascript - ExtJs 如何在树面板中设置选中的行

下一篇:javascript 删除 html 标签,但不删除其中的内容,也不删除带有正则表达式的 <a > 标签

相关文章:

javascript - 按字母顺序然后数字顺序对对象值数组进行排序

javascript - 如何在div中调整上传图片的预览?

javascript - 如何为 Sails 中的图像生成外部 url?

Javascript 在 IE8 中不工作

javascript - 有没有办法配置 ng-bind-html 来渲染像 '</' 这样的字符串?

javascript - 使用 Angular 导航时调用函数

javascript - 为什么服务变化没有更新 Controller ?

security - 如何在允许用户发布外部图像的同时防止 XSS 注入(inject)

http - HTTP header XSS漏洞如何利用?

ajax - 如何查找 IE8 的源 Internet Explorer 已修改此页面以帮助防止跨站点脚本

©2024 IT工具网  联系我们