pushState如何防止潜在的内容伪造？

pushState

$(\'#slider a\').click(function() {
  history.pushState({ path: this.path },\'\',this.href)
  $.get(this.href,function(data) {
    $(\'#slider\').slideTo(data)
  })
  return false
})

#

        我的理解是，这与管理“ 4”，设置cookie以及其他各种浏览器功能的同源策略完全一致。假设是，如果它在相同的域+协议+端口上，则它是受信任的资源。通常，作为Web开发人员，这是您想要（和需要）的，以便您的AJAX脚本正常工作，并使您的Cookie在整个网站上都可以读取。如果您正在运行一个用户可以在其中发布内容的网站，那是您的工作，而不是浏览器的工作，以确保他们不会网络钓鱼或互相记录对方的访问者。 这是有关FireFox人们在思考

pushState

的更多详细信息-看来这对他们来说不是问题。这里还讨论了一个可能的“ 0”安全漏洞，但这是一个不同的关注点，即是否能够在其他人的URL末尾隐藏恶意查询字符串。     ,        正如nrabinowitz所说，并用更多的外行术语来说：它仅限于同一域，就像ajax调用和cookie一样。因此，这是完全安全的-尽管对最终用户而言是一个小小的秘密。 我们（开发人员）一直使用哈希标签永远这样做，但这更好，因为： 看起来比较干净。 在重新访问深层链接时，您实际上可以显示真实的html数据以支持SEO和Facebook Open Graph之类的东西（都发送蜘蛛以​​使页面的html成为scape）。 服务器无权访问哈希标签数据，因此您不会在服务器日志中看到它，因此它有助于进行某些分析。 它有助于解决哈希标签问题。例如，我进行了Nginx重写，以将访问我的应用程序的用户重定向到相同的https url。它适用于所有浏览器，但Safari可以将您重定向到不带哈希的域（太烦人了！）