Spoofing of Server Sent Events

1

En la spec para Server Sent Events , dice

  

Los autores deben verificar el atributo de origen para asegurarse de que los mensajes solo se aceptan de los dominios de los que esperan recibir mensajes. De lo contrario, los errores en el código de manejo de mensajes del autor podrían ser explotados por sitios hostiles.

¿Cómo se podrían recibir mensajes de dominios sin solicitarlos?

¿El hecho de que Server Sent Events no esté basado en HTTP (TCP) no lo haría imposible?

    
pregunta sam 27.12.2014 - 23:15
fuente

1 respuesta

2

Esa sección de la especificación se refiere a Mensajería entre documentos , no Servidor Eventos enviados. Parece que html5rocks.com ha citado mal.

Tienes razón: si la escucha de SSE no está configurada para ese dominio en la secuencia de comandos de la página, entonces no hay amenaza.

    
respondido por el SilverlightFox 31.12.2014 - 15:31
fuente

Lea otras preguntas en las etiquetas