Stavo cercando di colpire un servizio web su un dominio diverso usando il metodo Ajax di jQuery. Dopo aver fatto qualche ricerca sembra che questo non consenta che questo sia di progettazione per prevenire lo scripting cross-site.
mi sono imbattuto in un lavoro in giro che doveva includere questa linea:
$.support.cors = true;
nella parte superiore del mio codice javascript. Da quello che ho capito, questo abilita lo scripting cross-site in jQuery.
L'utilizzo di questa riga di codice rende il sito più vulnerabile agli attacchi? Ho sempre sentito XSS discusso come un problema di sicurezza, ci sono usi legittimi per XSS?
Sfondo: http://api.jquery.com/jQuery.support/ Non penso che l'impostazione * abiliti * qualsiasi cosa però. Dice solo a jQuery cosa è supportato –
@Pekka - Lo stesso documento che colleghi dice esattamente il contrario. –
@Alvaro non abilitare * CORS impostando tale variabile. Dici solo a jQuery che sei in un ambiente in cui sono possibili richieste XHR tra domini. (Quindi, concesso, abiliti il loro uso in jQuery, abbastanza giusto. –