我正在分析是否使用动态脚本标记向某些第三方服务器发出请求 是个好主意。 Stackoverflow和其他一些网站有关于这些的几个主题,我仍然不确定这是一个好主意。
App在服务器B上。 第三方API在服务器A上。
如果服务器B应用程序正在拉动服务器A的javascript API库,而后者又使用动态标签来调用服务器A,我猜测它是API库和 从API本身返回代码仍在服务器B的域沙箱中?
我正在考虑一些事情:
我还在评估是否更实际将库代码拉到服务器B,检查安全性,自己托管JS源代码,以便我们不会盲目地接受它以防万一它随时间变化。
除此之外,我还会对服务器A的API库进行更改以通过我们的方式进行调用 代理,它会将域列入白名单,并记录每个请求以及其他一些事情,例如确保只将json和有效的json返回给客户端...
显然我想避免处理这个烫手山芋问题,但是使用这个API的决定到目前为止已经覆盖了我的证实或不安全的担忧。
是否存在支持任何一方的重量的文献?
答案 0 :(得分:0)
托管JavaScript(或json)的域对Same-Origin Policy没有影响。它完全依赖于通过<script>标记加载脚本的域。也就是说,可以通过使用“json callback hackery”在未经同意的情况下从其他域加载JSON。
我不知道客户端加载恶意JSON时涉及的任何攻击模式。我无法想象这会产生什么样的影响。使用白名单限制代理的范围是个好主意。