Ich sehe die Sicherheitsrisiken mit Cross-Domain-Ajax-Aufrufen,
aber ich denke, das eigentliche Problem sind die Cookies, die der Browser
automatisch an das Ziel Cross-Domain senden.Samt Origin Policy Lösungen
Warum kann der Browser nicht einfach Cookies im Fall von Cross-Domain Js Anfrage senden anstatt diese Anfrage insgesamt zu blockieren?
Ich hoffe meine Frage ergibt Sinn.
EDIT:
aus: https://en.wikipedia.org/wiki/Same-origin_policy
ist zwar richtig, die JavaScript hat keinen direkten Zugriff auf die Bank Session-Cookie, aber es könnte noch Anfragen an den Banking-Seite senden und empfangen mit dem Sitzungscookie der Bankseite, im Wesentlichen , der als normaler Benutzer der Bankseite fungiert. das Versenden von neuen Transaktionen in Bezug auf, auch CSRF-Schutz durch die Banking-Seite haben keinen Effekt, da das Skript einfach die gleichen wie der Benutzer tun kann, tun würde
So Angenommen, ich bin auf Facebook angemeldet und in der Zwischenzeit besuchen eine mislicious Website, die Cross-Site-Anfragen an Facebook verwenden, um Informationen über mich zu stehlen, Ich meine, der einzige Grund, warum es tun könnte, ist, weil ein legitimer Cookie in den Anfragen durch den Browser enthalten ist, liege ich falsch?
siehe meine Bearbeitung. – GionJh