标签: ajax security web-applications xss csrf
让我们说我的javascript发出一个ajax请求,并且在回调函数中它执行eval(response_text)而不检查response_text的任何内容。
有些东西告诉我这不好,但为什么以及怎么可能被epxloited?不总是我的服务器会发送好的数据吗?
答案 0 :(得分:1)
如果它来自不受信任的来源,那么它很容易受到XSS的攻击。攻击者可以调用您网站上的某个功能。
考虑一下攻击者将脚本标记附加到从其站点加载脚本的文档的情况。