我正在网站上实现Olark在线聊天,而我要做的就是实现以下js代码。
<script type="text/javascript" async>
;(function(o,l,a,r,k,y){if(o.olark)return;
r="script";y=l.createElement(r);r=l.getElementsByTagName(r)[0];
y.async=1;y.src="//"+a;r.parentNode.insertBefore(y,r);
y=o.olark=function(){k.s.push(arguments);k.t.push(+new Date)};
y.extend=function(i,j){y("extend",i,j)};
y.identify=function(i){y("identify",k.i=i)};
y.configure=function(i,j){y("configure",i,j);k.c[i]=j};
k=y._={s:[],t:[+new Date],c:{},l:a};
})(window,document,"static.olark.com/jsclient/loader.js");
/* Add configuration calls below this comment */
olark.identify('XXXX-XXX-XX-XXXX');
</script>
我想知道什么技术会使用Olark,Disqus等第三方JavaScript插件?
您可以看到 olark.identify()在我的网页上是公开可用的,您可以通过“检查元素”找到它。那么他们如何处理安全性并退回不需要的请求?
olark.identify('XXXX-XXX-XX-XXXX');
答案 0 :(得分:0)
这是一个相当广泛的问题,但我将尝试回答:
很多这些工具并没有真正阻止不需要的请求。例如,可以在完全不相关的网站上嵌入Disqus评论块。
我不认为这是最糟糕的事情,因为:评论出现在其他地方是什么问题?开始时已经是公共信息。
需要精确防止嵌入它们的域的脚本倾向于使用CORS和Origin标头来确保这一点。或者,他们可以使用document.location中的信息。
从某种意义上说,这不是“硬性”安全性,它可以完全禁止滥用,但它使用浏览器沙箱使其变得更难滥用。