Pogledajte određenu poruku
Staro 19. 03. 2008.   #7
akubra
član
Certified
 
Avatar akubra
 
Datum učlanjenja: 17.10.2006
Poruke: 65
Hvala: 42
18 "Hvala" u 9 poruka
akubra is on a distinguished road
Default

Citat:
Originalno napisao ivanhoe Pogledajte poruku
Pricam o ucitavanju sadrzaja sa drugog domena, jer mozes da ucitas javascript sa koje god zelis externe lokacije (stavis src="google.com/neki_skript.js" i to ce se ucitati), zasto onda ne moze XHR da radi isto to po defaultu? Citao sam dosta na tu temu, ali nisam nasao objasnjenje koji su konkretni napadi moguci ako se dozvoli cross-domain ajax ?
Jedan konkretan primer. Preko XMLHttpRequest-a, sa neke svoje strane, posaljes zahtev (obican HEAD je dovoljan) na neki drugi sajt, koji ima autentikaciju i za to koristi kukije, i onda sa getAllResponseHeaders() pokupis headere koje vraca taj server. Tu se nadje svasta zanimljivo, sesisije, korisnicka imena, lozinke.
akubra je offline   Odgovorite uz citat
"Hvala" akubra za poruku: