我需要找到一种方法来通知第三方网站关于我网站上的用户操作。不需要服务器端连接。使用私钥进行哈希用于签署请求,以便用户不会滥用它。
我的问题是如何安全地发送此请求。
有人知道是否可以在JSONP答案中注入Javascript?我的意思是绕过浏览器边界JSONP是Javascript,它使用JSON作为参数调用函数,但它也可以包含其他javascript调用。 jQuery是否以某种方式检查jsonp回调中是否存在恶意内容?
答案 0 :(得分:0)
如果您只需要定位现代浏览器,并且控制所有域,则可以创建HTTP访问控制策略以允许它们相互通信。但是,由于情况似乎并非如此,您将会遇到JSONP。
有趣的是,你提到“脚本包含”是“最好的邪恶”,因为这正是JSONP的意思。直到最近,浏览器都无法进行跨域请求,从第三方客户端获取任何内容的唯一方法是包含来自该第三方的脚本。 JSONP只是利用这种解决方法在函数定义中返回JSON,然后您的脚本可以调用该函数来获取包含的数据。