像这样的工具如何能够将ajax风格的调用回到中心站点?基本上他们会给你一个"标记放在你的网站上.所以在这个小部件中,你有能力要求发送一封电子邮件给你当前的页面.我认为这是一个ajax样式回叫分享这个发送电子邮件的人.但他们怎么能在你的服务器上没有代理服务器而没有浏览器阻止它作为XSS漏洞呢?
非常感谢您的帮助,谢谢您的帮助.我假设使用Flickr API会带来同样的挑战吗?
标题链接:http://sharethis.com/
他们为您提供了一个包含在您网站中的脚本.此脚本可以完全访问DOM和cookie.为了让它回调到他们的网站,他们使用了一种名为JSONP的技术.您包含的脚本在查询字符串中添加了另一个带参数的脚本.然后服务器返回JSON(只是JavaScript),并提取数据.
如果你正在构建mashup,你必须相信这些小部件不会像窃取你的cookie那样做恶意的事情.在IE 8中将有更好的安全XSS支持.
京公网安备 11010802040832号 | 京ICP备19059560号-6 