Запрос веб-сайта с помощью скрипта на стороне клиента. Но запрос веб-сайта сценарием на стороне сервера - это не хак! Зачем?
Как правило, когда мы хотим показать содержимое какой-либо веб-страницы на одной и той же странице, мы выполняем запросы ajax. Если, скажем, я запрашиваю веб-страницу в другом домене с помощью AJAX, это не разрешено из-за ошибки межсайтового скриптинга. Но почему разрешен доступ через серверную страницу? Например, мы можем использовать CURL в php для доступа к любому сайту. Почему эта функция подходит для сценариев на стороне сервера, а НЕ для сценариев на стороне клиента?
2 ответа
Потому что злонамеренный скрипт может открыть внешнюю страницу без ведома пользователя. Например, представьте небезопасную текстовую область. Если содержимое этого текстового поля показывается другим пользователям, оно может содержать скрипт, который подключается к удаленному хосту и отправляет на него конфиденциальную информацию о пользователе. Все сводится к следующему: на стороне сервера -> вы контролируете, на стороне клиента -> общедоступны, поэтому подвержены злоупотреблениям.
Увидеть:
В вычислениях одна и та же политика происхождения является важной концепцией безопасности для ряда языков программирования на стороне браузера, таких как JavaScript. Политика разрешает сценариям, работающим на страницах, исходящих с одного и того же сайта, получать доступ к методам и свойствам друг друга без особых ограничений, но запрещает доступ к большинству методов и свойств на страницах разных сайтов.