如何解决pushState如何防止潜在的内容伪造?
| 从GitHub的博客中可以看出,他们已经实现了HTML5的JavaScriptpushState
功能,用于树浏览(对于现代浏览器),带来了没有Hash Bangs的AJAX导航。
代码很简单:
$(\'#slider a\').click(function() {
history.pushState({ path: this.path },\'\',this.href)
$.get(this.href,function(data) {
$(\'#slider\').slideTo(data)
})
return false
})
这非常优雅地允许他们:
通过AJAX而不是整个页面仅请求新内容
动画过渡
并更改浏览器的URL(不仅仅是Twitter的#
— twitter.com/stackexchange→twitter.com/#!/stackexchange)
我的问题是,JavaScript如何防止一个网站使用“ 0”来模仿另一个网站,从而导致令人信服的网络钓鱼攻击?
至少似乎无法更改域,但是站点中的多个路径又可能由多个不相关且互不信任的内容提供者处理呢?一条路径(即/ joe)是否可以模仿另一条路径(pushState / jane)并提供可能具有恶意目的的模仿内容?
解决方法
我的理解是,这与管理“ 4”,设置cookie以及其他各种浏览器功能的同源策略完全一致。假设是,如果它在相同的域+协议+端口上,则它是受信任的资源。通常,作为Web开发人员,这是您想要(和需要)的,以便您的AJAX脚本正常工作,并使您的Cookie在整个网站上都可以读取。如果您正在运行一个用户可以在其中发布内容的网站,那是您的工作,而不是浏览器的工作,以确保他们不会网络钓鱼或互相记录对方的访问者。
这是有关FireFox人们在思考
pushState
的更多详细信息-看来这对他们来说不是问题。这里还讨论了一个可能的“ 0”安全漏洞,但这是一个不同的关注点,即是否能够在其他人的URL末尾隐藏恶意查询字符串。
, 正如nrabinowitz所说,并用更多的外行术语来说:它仅限于同一域,就像ajax调用和cookie一样。因此,这是完全安全的-尽管对最终用户而言是一个小小的秘密。
我们(开发人员)一直使用哈希标签永远这样做,但这更好,因为:
看起来比较干净。
在重新访问深层链接时,您实际上可以显示真实的html数据以支持SEO和Facebook Open Graph之类的东西(都发送蜘蛛以使页面的html成为scape)。
服务器无权访问哈希标签数据,因此您不会在服务器日志中看到它,因此它有助于进行某些分析。
它有助于解决哈希标签问题。例如,我进行了Nginx重写,以将访问我的应用程序的用户重定向到相同的https url。它适用于所有浏览器,但Safari可以将您重定向到不带哈希的域(太烦人了!)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。