试图弄清楚为什么只有 javascript 代码只能回调到页面托管的同一域,我知道您不希望代码将个人详细信息等发送到另一个域(可能是恶意网站) .
但是,如果其他域在其服务器上放置了 crossDomain.xml 文件,这是否意味着恶意站点现在可以接受调用?
正如你所猜测的,我对其工作原理有一个初步的了解,因此我们将不胜感激。
最佳答案
如果站点 A 发布了合适的 crossDomain.xml 文件,则站点 B 可以使用 Adobe Flash 从站点 A 读取数据。这与 JavaScript 无关。
JavaScript 等效项是 CORS .
无论哪种情况,所授予的权限都应该是:
- 对于非 secret 数据
- 前往受信任的网站
在第一种情况下,如果站点 B 是恶意的,那么它不能对数据做任何坏事。在第二个例子中,站点 A 的开发人员在信任站点 B 方面犯了严重错误。
关于javascript - 了解 crossdomain.xml 和恶意脚本?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10993367/