jquery,jsonp,错误处理&安全问题

时间:2010-07-06 09:38:54

标签: jquery security jsonp

在jquery 1.3.2中

对于我习惯的jsonp请求

var _options = {
        url: 'someexternal_url',
        type: 'GET',
        dataType: 'jsonp',
        success:_aSucFnToHandle,
        error: _anErrFnToHandle
    };

    $.ajax(_options);// this ignores any error if occurs on url

所以我添加了下面的脚本并更改了我的ajax请求

<script type="text/javascript" 
     src="http://jquery-jsonp.googlecode.com/files/jquery.jsonp-1.0.4.min.js">
</script>

$.jsonp(_options); // with this i can handle error if any occurs on url

我的问题是:

  1. 有什么改进吗? jquery 1.4.2处理错误 jsonp请求或你如何处理 如果在制作jsonp时发生错误 请求
  2. 安全循环列表     jsonp请求中的漏洞

2 个答案:

答案 0 :(得分:4)

对于#1:还没有,但你应该重新审视http://code.google.com/p/jquery-jsonp/,因为它现在是2.1.x版本;)

对于#2,是的,当您向第三方提供对javascript VM的完全访问权限(可能导致数据窃取)时,会出现循环漏洞。这完全取决于JSONP提供商实际上是多么可靠。尽管如此,它与远程链接第三方脚本没有什么不同。

答案 1 :(得分:0)

对JavaScript的担忧并不多。两大问题是Dom Based XSSClient Side Trust。例如,如果您确保用户使用javascript输入有效的电子邮件地址,则可以轻松绕过,因为clicent可以使用TamperData或GreaseMonkey执行任何操作。

相关问题
最新问题