为什么像这样的工具可以将 ajax 样式的回调返回到中央站点?基本上,他们会给你一个 "标签,让你把它放在你网站上的任何地方。所以在这个小部件中,你可以要求为你当前所在的页面发送一封电子邮件给你。我认为这是一个 ajax样式回调以共享发送电子邮件的人。但是他们如何在您的服务器上没有代理且浏览器不将其作为 XSS 漏洞阻止的情况下执行此操作?
如有任何答案,我们将不胜感激,感谢您的帮助。我假设使用 Flickr API 会带来同样的挑战?
最佳答案
他们给你一个脚本来包含在你的网站中。此脚本可以完全访问 DOM 和您的 cookie。为了让它回调到他们的站点,他们使用了一种称为 JSONP 的技术。您包含的脚本在查询字符串中添加了另一个带有参数的脚本。然后服务器返回 JSON(即 JavaScript),并提取数据。
如果您正在构建 mashup,您必须相信这些小部件不会做一些恶意的事情,比如窃取您的 cookie。 IE 8 将更好地支持安全 XSS。
关于ajax - 像 "http://sharethis.com/"这样的小部件如何进行 XSS 调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/341966/