既然是否允许跨域是浏览器来做判断的,那么有没有可能一些小浏览器绕过了这个限制?
TakanashiAzusa · 2015-07-06 15:57:22 +08:00 · 4840 次点击这是一个创建于 3420 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT。昨天研究了下跨域判定,发现是浏览器根据服务器返回的http头来判断的,允不允许发送跨域请求其实只看浏览器肯不肯,相当于是个君子协议。
那有没有可能某些小浏览器厂家不遵守这个限制或者加后门?(还是说因为浏览器开发门槛比较高,能做到自主研发核心或者更改开源内核的都是大厂,比较爱惜羽毛,不会留这种明显作死的后门?)
 |
1
nigelvon 2015-07-06 16:01:33 +08:00
大厂商不会,小厂商无视(不会影响到一般用户)。
|
 |
2
TakanashiAzusa OP @nigelvon 但这个不是明显的安全漏洞么。当然我感觉国内很多直接用webkit内核的厂家应该不会这么蛋疼做这种损人不利己的事。不过脑洞开大点,有没有可能比如说一个有心做黑产的团体,抱着不纯的目的,开发一款浏览器做这种事?
|
 |
3
alex321 2015-07-06 16:04:55 +08:00
其实。。。APP 就是啊。
|
 |
4
sy1989 2015-07-06 16:08:02 +08:00
脚本跨域有安全问题的,怎么可能绕过
|
|
5
nigelvon 2015-07-06 16:13:23 +08:00
@TakanashiAzusa 不会的,如果对所有域名取消跨域限制,很容易被发现并传播,没有哪个大厂会做这种傻事情。
要做也只针对特定的域名,这样的话没什么普遍危害性,你用他的浏览器,他要留后门太容易了。 只要其他开发者无法利用这些“后门”那就是“安全”的。 |
 |
6
Karblue 2015-07-06 16:15:29 +08:00
跨域最终走到的还是数据层啊。浏览器会判断是不是同一个域名,小厂商留这个后面干什么呢。有什么卵用呢?
|
 |
7
em70 2015-07-06 16:19:37 +08:00
chrome可以设置允许跨域,用来调试用,但只是个别浏览器支持没意义啊
|
 |
8
xiaojj 2015-07-06 16:25:19 +08:00
只能对自己起作用吧,而且浏览器留这种后门也没什么用吧
我能想到的就是在网页上可以用js采集另外网站的内容了 或者可以随意获取另外网站的cookie了 |
 |
9
dorentus 2015-07-06 17:10:40 +08:00
都有自己的浏览器了,就算想搞些小动作也没必要通过这个,直接用浏览器的进程随便搞就是了。
|
 |
10
otakustay 2015-07-06 17:13:52 +08:00
当然可以做啊,比如360出个浏览器允许任意域的脚本向360 post数据,我觉得是很“正常”的,国内厂商肯定干得出来
|
 |
11
virusdefender 2015-07-06 17:32:24 +08:00
部分浏览器存在特权域 可以随便执行指令的
|
|
12
TakanashiAzusa OP |
 |
13
bk201 2015-07-06 18:35:32 +08:00
对自己产品有什么好处?没好处不就遵守了
|
 |
14
aliuwr 2015-07-06 18:55:18 +08:00
@TakanashiAzusa 楼主可以上乌云搜索下浏览器相关的漏洞寻找安慰。
|
 |
15
loading 2015-07-06 18:57:30 +08:00 via Android
没必要给第三方提供便利,自己用后门不更好?
|
 |
16
yeyeye 2015-07-06 19:59:10 +08:00
在没有发生之前 你讲再多道理也没用 等证实了 别人虽然会说你是预言帝但是八成也是认为你是瞎猜的
所以这话题有意义么? |
Select Language