我正在编写一个带有本地程序的rails应用程序,供用户运行。该程序创建一个nodeserver,通过websockets连接到用户的浏览器。当用户在浏览器中进行某些动作时,信号将通过套接字发送到本地节点服务器,本地节点服务器将在用户的本地机器上执行预定义的命令。该命令根据用户在浏览器中的特定操作而有所不同,但用户无法将自定义数据发送到本地节点服务器(即,不同的操作会将预定义的信息发送到本地服务器)。我想知道这样做是否存在安全隐患,以及如果可能的话可能会有什么样的漏洞利用。
答案 0 :(得分:1)
我在使用Chrome扩展程序与本地环境进行通信时遇到了麻烦:
也许你可能遇到HTTP access control (CORS)的问题,如果发生这种情况,gem CORS可能会解决http://rubygems.org/gems/cors
由于CORS,另一个可能的问题可能是“406 not acceptable”。