問題タブ [cross-domain]

MSDN へのリンクがたくさんあり、「私のマシンで動作します!」回答があるので、私がやっていることを再現するための正確な手順で質問したいと思います。私たちは既存の Web サービスを使用しているため、オンラインの多くのチュートリアルやビデオとは異なり、プロジェクトの外部で Web サービスをホストするというコンテキストで質問しています。だからここに行きます：

*** 新しい ASP.NET Web サービス プロジェクトを作成します。

「HelloWorld」Web メソッドを公開する既存の Service.asmx ファイルが付属しています。

ブラウザで表示し、「Invoke」ボタンを押します。「Hello World」文字列を返すように動作するはずです。

私のマシンでは、URL は " http://localhost:15511/WebSite5/Service.asmx "です。

*** Visual Studio の新しいインスタンスを開始し、Silverlight Web アプリケーション プロジェクトを作成します。

*** Web サービスを呼び出すためのイベント ハンドラーでボタンを 1 つ貼り付けます。私は個人的に Grid を nuke し、単純な StackPanel を使用します。例えば。

Button_Click のステートメントとイベント ハンドラーを使用して、Web 参照を追加します。

• Silverlight アプリケーションを実行します。私の場合、次の Silverlight テスト ページに移動します: http://localhost:15558/SilverlightApplication1TestPage.aspx

実行すると、もちろん、クロスドメインの問題のために爆発します。次に、次のようにclientaccesspolicy.xmlファイルを、サービスをホストする Web アプリケーションのルートに追加します。

ヘッダー、URI、およびリソースのワイルドカードがあるため、これで問題が解決するはずですよね?

• もう一度実行すると、エラーが発生します。

URI ' http://localhost:15511/WebSite5/Service.asmx ' への要求の試行中にエラーが発生しました。これは、適切なクロスドメイン ポリシーを設定せずにクロスドメイン方式でサービスにアクセスしようとしたか、SOAP サービスに適していないポリシーが原因である可能性があります。クロスドメイン ポリシー ファイルを公開し、SOAP 関連の HTTP ヘッダーを送信できるようにするために、サービスの所有者に連絡する必要がある場合があります。

質問: clientaccesspolicy ファイルに秘密はありますか? 代わりに crossdomain.xml を試すこともできますが、同様の結果が得られます。

別のドメインでホストされている場合でも、ページ上の JavaScript が SWF と自由に通信できるように、「クロスドメイン セキュリティ」を開くにはどうすればよいですか?

この関数の通信がデフォルトでブロックされていることは確かですが、「crossdomain.xml」というファイルと actionscript 3 関数である system.Security.allowDomain("*") をいじってみました。しかし、私は完全な成功を収めているわけではありません。また、どちらが何のために開かれているのかを知る洞察もありません.

このシナリオで考える必要がある、他の隠れたセキュリティ層はありますか?

そして、このセットアップを行うことで、潜在的なハッカーにコードを公開しているのでしょうか?

（そして、あなたが疑問に思っている場合：はい、HTMLが1つのドメインでホストされ、JavaScriptが別のドメインから外部的に追加され、SWFが3番目のドメインからのJavaScriptによって埋め込まれているシナリオでこれを機能させる必要があります- 理由は聞かないでください。複雑すぎて説明できません - 私も、すべてを 1 つのドメインでホストできたらいいのにと思います)。

フォームを作成し、それを使用して任意のサイトへの POST 要求を実行できます。FORM メソッドは非同期ではないため、ページの読み込みがいつ完了したかを知る必要があります。内部にフォームがある iframe を使用してこれをいじってみましたが、成功しませんでした。

何か案は？

編集

残念ながら、応答データを制御することはできません。XML、json から単純なテキストまでさまざまです。

私はasp.net MVCを使用して、ajax相互作用を持つアプリケーションを開発しています。コントローラーにJsonResultメソッドがあり、jsonのシリアル化されたデータを返します。たとえば、リクエストがhttp://somesite.com/findwidgets/に対して行われると、mvc はデータを json としてシリアル化し、送り返します。

クライアント側でjQueryを使用して、ajaxリクエストを処理し、結果を操作しています。データの取得に問題はありませんが、ブラウザのアドレス バーからhttp://somesite.com/findwidgets/にリクエストを送信すると、json データがダウンロードとして返されることがわかりました。

また、他の人がhttp://somesite.com/findwidgets/を使用して単純にリクエストを作成してデータを取得できないようにするにはどうすればよいですか?

クロスドメインはここでの適切なトピックですか、それとも他のセキュリティ問題について話しているのでしょうか?

ありがとう

別のドメインのサーバーへの HTTP GET 要求に基づいてデータを表示する Javascript を作成しようとしています。私が読んだことから、これは SOP (Same Origin Policy) のためにトリッキーになっています。

snap.com の "Snap Shots" (Web ページのプレビュー) がどのように機能するのか興味があります。ページの例を次に示します: http://premshree.livejournal.com/66129.html

誰かがこれがどのように可能かを説明できますか? snap.com の「スナップ ショット」を有効にするには、ヘッダーに Javascript を追加するだけです。サンプル Web ページが SOP に違反しているようです。

背景:最近、「構造化テキスト エディター」を見ていると、彼らが python/perl/c++/java などを変更するトリックを使用していることに気付きました。それぞれの言語のコメントに XML を忍び込ませて、「構造化された」アウトラインにします。

Windowsのbatファイル内でこのトリックを見たこともありました。一部の perl コードを「隠す」ために、bat ファイルの REM ステートメントが使用されていました。

質問:誰かがプログラミング言語またはマークアップ言語のコメントを使用して、まったく異なる言語の構文を埋め込んだ例を見たことがありますか? はいの場合、例へのリンクを提供するか、それが何であったかを説明できますか?

まだお持ちでない場合は、次の例をご覧ください。

• このトリックを使用するエディター ファイル形式の例。

質問:この種の「トリック」は巧妙で便利なアイデアですか? もしそうなら、このトリックを使用した特別な例を挙げていただけますか? いいえの場合、それが悪い考えだと思う理由を説明できますか?

次の世代のブラウザー (FF 3.1、IE8) の多くは、クロスドメイン XMLHttpRequests を何らかの形でサポートする予定です (サーバーがオプトインしている限り、セキュリティ上の懸念があります)。

同じ機能が WebKit に含まれる予定はありますか?

FF: https://developer.mozilla.org/en/Cross-Site_XMLHttpRequest

IE: http://blogs.msdn.com/ie/archive/2008/06/23/securing-cross-site-xmlhttprequest.aspx

データに名前空間を付けるためのサーバーの連携を伴うJSONPがあります。

気になるのは、スクリプトタグの内容srcが評価されているのに読めないことです。

理解する必要があるのは、データに名前空間を付ける方法だけです。それだけです。もちろん、私はかなりばかげたものを試しましたが、関連する結果はありませんでした（これが機能しないことはわかっていますが、私が達成しようとしていることはわかります）：

コンテンツの評価方法に関連する情報が実際にはないためsrc、グローバルスコープであることはわかっていますが、評価手順をトレースしたり、評価スコープをチェーンしたりできれば（これに関するドキュメントもあまりありません）、この厄介な「評価済み」を解決できますが、読めない」もの。

何か案は？

私は関連するセキュリティ リスクを知っており、それをビジネスに持ち出しましたが、5 つのドメインでログイン Cookie を共有したいと考えています。

ASP.Net メンバーシップとプロファイルを使用しており、使用をやめる予定はありません。これは可能ですか？ハックさえあれば大歓迎です。