0

データに名前空間を付けるためのサーバーの連携を伴うJSONPがあります。

気になるのは、スクリプトタグの内容src評価されているのに読めないことです。

<script src="http://www.google.com"></script>

理解する必要があるのは、データに名前空間を付ける方法だけです。それだけです。もちろん、私はかなりばかげたものを試しましたが、関連する結果はありませんでした(これが機能しないことはわかっていますが、私が達成しようとしていることはわかります):

<script>eval('var namespace="');</script>
<script src="http://www.google.com"></script>
<script>eval('";');</script>

コンテンツの評価方法に関連する情報が実際にはないためsrc、グローバルスコープであることはわかっていますが、評価手順をトレースしたり、評価スコープをチェーンしたりできれば(これに関するドキュメントもあまりありません)、この厄介な「評価済み」を解決できますが、読めない」もの。

何か案は?

4

3 に答える 3

1

ブラウザのセキュリティポリシーにより、これが可能かどうかはわかりません。

于 2009-02-15T18:39:35.397 に答える
0

私はそれを残すと言いたいです。この種の問題は解決されますが、私たちがすでに持っているものをハッキングすることによっては解決されません。その点でウェブは根本的に壊れています。あるドメインのスクリプトを別のドメインで実行できるという事実は、セキュリティ上の重大な脆弱性であり、チェックを外すとWebの成長を妨げることになります。

http://www.slideshare.net/webdirections/douglas-crockford-ajax-security-presentation

于 2009-02-15T18:40:55.690 に答える