ne ne, sad mesas babe i zabe, ne govorim o cross-frame scriptingu, to treba za bude zabranjeno jer realno predstavlja pretnju po sigurnost, jasna stvar.
Pricam o ucitavanju sadrzaja sa drugog domena, jer mozes da ucitas javascript sa koje god zelis externe lokacije (stavis src="google.com/neki_skript.js" i to ce se ucitati), zasto onda ne moze XHR da radi isto to po defaultu? Citao sam dosta na tu temu, ali nisam nasao objasnjenje koji su konkretni napadi moguci ako se dozvoli cross-domain ajax ? Takodje zasto bi slanje zahteva kroz proxy bilo sigurnije od direktnog slanja zaheva na taj domen? Svi tekstovi na tu temu su ili genericki: "to je opasno, ako posumnjas u to goreces u paklu", ili su objasnjenja tipa: "mozda to uzme programer koji nema pojma, pa uradi nesto glupo sa tim (kao da to generalno ne vazi uvek)"
__________________
Leadership is the art of getting people to want to do what you know must be done.
Poslednja izmena od ivanhoe : 18. 03. 2008. u 19:57.
|