Access-Control-Allow-Origin senza AJAX

3

Questa risposta (erroneamente?) afferma

No, as long as the CORS Access-Control-Allow-Origin is at its default restrictive value. This prevents the outer website from accessing the framed website via Javascript/etc.

Tuttavia, ero abbastanza sicuro che non fosse possibile accedere a un sito Web con frame se non si tratta dello stesso dominio, indipendentemente dalle impostazioni CORS:

es. questa risposta

an iFrame cannot read the contents of another iFrame unless they are on the same domain.

e questa risposta

Frames have scripting rights and protections granted by the Same-Origin Policy. A script executing on a parent cannot read the contents of a child iframe that is of another domain.

Quindi la mia domanda è, se CORS è implementato, è possibile per un dominio leggere il contenuto da un altro dominio senza emettere una richiesta AJAX?

es. nel primo post

Victor can verify the contents of the HTML it retrieves and verify all referenced scripts as well.

Come si otterrebbe? Può essere ottenuto senza AJAX (cioè è possibile leggere cross frame o tramite qualsiasi meccanismo nel DOM, o è il caso di un sito che invia una richiesta AJAX all'altro?).

    
posta SilverlightFox 06.11.2013 - 11:42
fonte

1 risposta

2

La condivisione di risorse di origine incrociata è pericolosa e sono stati compiuti ulteriori sforzi per bloccare il SOP rispetto a tecnologie come CORS che piegano le regole. Alla fine della giornata non voglio che le persone leggano la mia email perché sto visitando il loro sito web. (Devono guadagnare quel diritto con uno 0 giorni!)

CORS è strettamente una funzione JavaScript. Sebbene non ci avessi pensato fino a questo post, ma perché CORS non dovrebbe essere usato per infrangere altre regole SOP? Questo può essere implementato in modo sicuro e, cosa più importante, sarebbe normale.

Un dominio può accedere ad un altro dominio senza Ajax e CORS? La risposta è sì, dopotutto abbiamo avuto una soluzione a questo problema prima di CORS. Prima di CORS, c'erano due modi principali in cui le app Web rompevano il SOP. Il primo metodo consiste nell'utilizzare un proxy interdominio che è un componente lato server per recuperare contenuto inaccessibile per conto del cliente. Il secondo metodo è XSS , sì le persone hanno effettivamente implementato intenzionalmente una vulnerabilità XSS ai fini della condivisione delle risorse, che è indiscriminata. Di conseguenza CORS è strongmente preferito su questi metodi.

    
risposta data 06.11.2013 - 17:33
fonte

Leggi altre domande sui tag