在Web应用程序中使用Ajax时,我们使用XML在服务器和客户端之间传输数据。然而,XSS验证进入了画面, 所以问题是, 1.像这样传递XML是否正确? 2.如果我们关闭XSS验证,是否会遇到安全问题? 3.可以通过头文件(content-type = application / xml)传递Ajax请求来解决这个问题吗?
JSON也是传输数据的好方法,但也是调用XSS的方法。 那么什么是正确和错误的?建议一些好的做法。 请提供相同的输入。 谢谢,
答案 0 :(得分:1)
我更喜欢使用JSON;比XML更轻量级,并且因为它是一个javascript对象,所以使用事件处理程序中返回的数据变得微不足道。请注意不要eval()您的JSON对象,因为这会危及安全性 - 请参阅When is JavaScript's eval() not evil?
至于XSS保护,它是有充分理由的。我从你的帖子中得知客户端代码托管在与数据源不同的域上?只有在这种情况下,XSS保护才会生效。您可能希望查看为此方案开发的JSONp,尽管它也带有一系列安全问题:http://en.wikipedia.org/wiki/JSON#JSONP
希望这有帮助,
JS