|
Сообщение от Actine
|
|
Как загрузить данные с чужого домена, не будучи уверенным, что они не содержат вредоносного кода?
|
Если на другом домене никто не позаботился о том, чтобы Вы смогли получить данные JS'ом, то Вы их не получите JS'ом.
|
Сообщение от Actine
|
|
Вопрос #2. Не считаете ли вы запрет кроссдоменных запросы XHR и разрешение оных в JS-инъекции дебилизмом? Ведь XHR можно пропарсить (eval маст дай) и не допустить вредных запросов, а проверить подключаемый скрипт перед интерпретацией не получится.
|
А кто Вас заставляет подключать скрипт, указывающий на непонятный файл на другом домене? И вообще, ограничения на XHR введены не для Вашей защиты, а для защиты пользователя,
которому, может быть, на его любимом сайтике при заходе пишут "Привет, %username%! Твой текущий пароль: %password%" который, скажем, авторизуется по IP. А Вы возьмете и отправите какой-нибудь запрос вида ?act=delete&target=all&confirm