Ajax.请求外部站点:是否XSS
Ajax.Request to external site: XSS or not?
我认为下面不起作用,因为我正在尝试XSS,但我尝试执行本地端口重定向来确认,它仍然不起作用。有人能让我知道如果这是XSS或不是,如果不是,为什么它不工作?
<html>
<div id="output"></div>
<script src="prototype.js" type="text/javascript"></script>
<script type="text/javascript">
function test()
{
this.url = "http://www.google.com"
}
test.prototype.run = function()
{
var request = new Ajax.Request(this.url,
{
method: "get",
onSuccess: this.success.bind(this),
onFailure: function(response) { alert("failure"); }
});
};
test.prototype.success = function(response)
{
var debug = "this.url = " + this.url + ",<br>"
+ " response.status = " + response.status + ",<br>"
+ " response.statusText = " + response.statusText + ",<br>"
+ " response.readyState = " + response.readyState + ",<br>"
+ " response.responseText = " + response.responseText + ",<br>"
+ " response.responseXML = " + response.responseXML + ",<br>"
+ " response.responseJSON = " + response.responseJSON + ",<br>"
+ " response.headerJSON = " + response.headerJSON + ",<br>"
+ " response.request = " + response.request + ",<br>"
+ " response.transport = " + response.transport + ",<br>"
+ " response.transport.readyState = " + response.transport.readyState + ",<br>"
+ " response.transport.responseText = " + response.transport.responseText + ",<br>";
document.getElementById("output").update(debug);
};
new test().run();
</script>
</html>
这不是XSS(这是一种攻击web应用程序客户端的方式),但它只是同源策略在这里生效。你不能简单地从你自己的域(你自己的意思是你的web应用程序是从哪里加载的)以外的域用Ajax请求请求数据。
在这里了解更多信息:http://en.wikipedia.org/wiki/Same_origin_policy
相关文章:
- json_encode是否具有足够的XSS保护
- 在URL中编码JSON时是否存在XSS威胁
- 代理第三方脚本是否会引入 XSS 攻击
s XSS 上的数据 URI 是否可被利用
- 在这种情况下,XSS 是否可能
- 是否有可能在具有内联样式的样式标签上使用XSS进行攻击
- HTML 文本框值属性是否安全免受 XSS 攻击
- JS/XSS:将用户提供的字符串分配给变量时;替换 <,> 和字符串分隔符是否足够
- 我是否可以通过使用会话来防止 XSS 攻击
- 是否可以在Mobile safari中允许跨站点脚本(XSS)
- 浏览器的 X-XSS-Protection/XSS Auditor 是否足以阻止 XSS
- 单引号是否会导致XSS攻击
- xss是否可以通过分析头来访问仅http cookie
- 这是否容易受到基于dom的xss的攻击?
- addslashes()在HTML属性中防止XSS是否安全?
- XSS -是否只能通过使用JavaScript实现?
- XSS是否可能使用handsontable而不使用PHP ?
- Ajax.请求外部站点:是否XSS
- 当注入点是style属性的值时,XSS攻击是否可能发生?
- 在PHP应用程序中只允许字母数字的用户输入是否可以防止XSS攻击