我正在使用以下内容:
<script type="text/javascript" src="/php/dictionary.php">
</script>
dictionary.php是一个输出JavaScript代码的PHP脚本。我使用dictionary.php生成JavaScript的原因是JavaScript中的某些值取决于Locale&amp;用户。
我想知道这种技术是否和直接使用Javascript文件一样安全?
答案 0 :(得分:3)
不,它不安全,因为您需要为不同用户使用不同的脚本。该脚本将被缓存,因此用户可以获取之前登录过同一台计算机的其他用户的脚本。
如果您需要它是安全的,请为登录用户生成代码,并在请求脚本时在查询字符串中发送该代码,以便您可以验证正确的用户是否获得了脚本。由于URL将不同,因此也将单独缓存。
答案 1 :(得分:1)
Javascript只会影响客户端。除非您公开影响.php文件中其他用户的客户端操作,否则可能会滥用跨站点脚本,这应该没问题。
参考:http://en.wikipedia.org/wiki/Cross-site_scripting
这是安全的,因为他们可能追求的任何潜在利用只会影响客户端,因为从Javascript调用的所有服务器端文件也都会被修补以保证安全性。