¿Cuál es el valor de un bloqueador XHR?

1

Mi pregunta no es específica de uMatrix, pero está enmarcada desde ese PoV:

información de fondo: uMatrix es una extensión del navegador cuya interfaz principal ofrece una cuadrícula rectangular de permisos (permitir / heredar / bloquear), con dominios y subdominios al costado y las siguientes opciones en la parte superior: Cookies, CSS, Imágenes, Medios (a / v & plugins), Scripts, XHR (incluyendo Fetch & WebSockets), Marcos, Otros.

Digamos que estoy visitando el sitio web example.com , que desafortunadamente llama a una variedad de URL de malwarethirdparty.net .

Si mi navegador bloquea scripts, medios y amp; fotogramas de malwarethirdparty.net , pero permite XHR, ¿el permiso por sí mismo permite que algo suceda? ¿Se puede llamar a XHR desde HTML estático, CSS, cookies o imágenes?

Por el contrario,

si mi navegador bloquea XHR, pero permite scripts o complementos, ¿impide que malwarethirdparty.net logre resultados que otro método no podría lograr en su lugar (por ejemplo, createElement ( 'script') )?

En otras palabras, ¿cuál es un ejemplo en el que una configuración de permisos XHR por separado podría ser importante?

    
pregunta Foo Bar 26.01.2018 - 21:44
fuente

1 respuesta

1

Es posible que el JavaScript de example.com realice solicitudes XHR a maliciousthirdparty.net . De forma predeterminada, esto está bloqueado debido a la política del mismo origen , pero maliciousthirdparty.net puede enviar CORS para permitir las solicitudes.

Si bloquea las solicitudes de XHR al dominio y permite que se carguen los scripts, es posible que sea más difícil que un script malicioso extraiga los datos. Esto podría ser útil, por ejemplo, si no confía en el CDN que aloja una biblioteca de JavaScript que example.com requiere para funcionar correctamente.

    
respondido por el AndrolGenhald 26.01.2018 - 23:38
fuente

Lea otras preguntas en las etiquetas