我正在使用Jquery加载函数$('#result').load('test.php');通过单击选项卡将页面加载到另一个页面。我正在加载的页面包含javascript,php,并包含一个表单。使用firebug控制台,我看到我正在加载的页面中的所有脚本源都有一个GET。不确定这是否应该成为一个问题..
可以通过jquery加载来攻击数据吗?有什么问题需要考虑吗?
注意:我知道旧版浏览器无法使用javascript但还有其他需要考虑的内容吗?
答案 0 :(得分:6)
使用AJAX加载内容不会引入任何其他安全问题。
攻击者可以劫持连接并注入自己的Javascript(除非您使用的是HTTPS),但他也可以对页面本身执行此操作。
攻击者可以利用后端的XSS漏洞运行自己的Javascript,但他也可以对页面本身进行操作。
答案 1 :(得分:3)
只要您的网站没有受到损害,对您自己的数据的XHR本质上不会比任何其他请求更危险。
答案 2 :(得分:1)
这实际上取决于您对脚本来源的信任程度。如果您控制它们,那么就没有(额外的)问题。如果你是从其他地方获得它们(例如来自Google的CDN的jQuery),你就相信这个来源。