我们正在与第 3 方交谈,希望将他们的一些数据包含在我们的网站上,他们希望通过 iframe 来实现,但由于响应性原因,我不喜欢这种方式。
他们提供的其他选项是包含一个 javscript 文件,该文件将采用一个参数来了解将结果放入哪个 DOM 元素。
基本上,这让他们可以访问我们网站的 javascript 范围,如果他们愿意,可以在其中执行隐藏 dom 对象等操作。
我的问题是,是否有任何我必须考虑的安全事项?例如,他们可以在他们的 javascript 中编写恶意代码,最终从我们的服务器读取 .php 文件并从配置文件等获取密码吗?还是他们唯一能做的与 DOM 相关的事情?
最佳答案
他们可以:
控制用户的 cookie,包括读取和修改 他们。
将用户重定向到他们想要的任何网站。
将他们想要的任何代码嵌入到页面中。
他们不能:
- 直接访问 php 文件。
- 直接访问任何服务器文件。
Javascript 在浏览器中运行,而不是在服务器上运行。
关于javascript - 人们可以用 javascript 做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34022936/