通常,当我们想在同一页面中显示某个网页的内容时,我们会查找ajax请求。如果说,我使用AJAX向不同域中的网页请求,则由于跨侧脚本错误而不允许这样做。但是为什么允许通过服务器端页面进行访问。对于例如我们可以在php中使用CURL来访问任何网站。为什么这个功能对于服务器端脚本来说是正常的,而对于客户端脚本来说还不行?
答案 0 :(得分:2)
请参阅:
在计算中,相同的原始政策 是一个重要的安全概念 浏览器端编程的数量 语言,例如JavaScript。该 策略允许运行脚本 来自同一网站的网页 访问彼此的方法和 属性没有具体 限制,但阻止访问 大多数方法和属性 不同网站上的网页。
答案 1 :(得分:2)
因为恶意脚本可以在没有用户许可的情况下打开外部页面。例如,想象一个不安全的文本区域。如果向其他用户显示此文本框的内容,则该文本框的内容可能包含连接到远程主机的脚本,并向其发送敏感用户信息。这一切归结为:服务器端 - >你在控制,客户端 - >公众,容易被滥用。