En lugar de JSONP, ¿por qué no podemos omitir explícitamente la Política de Same Origin?

Navega tus respuestas
0

He estado aprendiendo sobre la misma política de origen. Si solo desea acceder al contenido JSON público, debe utilizar una solución alternativa, como CORS, proxy inverso y JSONP.

Si hubiera una forma en ECMAscript para que un script le pidiera explícitamente al navegador que enviara una solicitud no autenticada , los scripts podrían acceder al contenido público, mientras que los navegadores no tendrían que preocuparse por el uso indebido de las cookies. / p>

Las cosas rara vez son tan simples, y estoy seguro de que hay una razón por la cual tal funcionalidad no existe. Sin embargo, no conozco el tema lo suficiente como para pensarlo.

    
pregunta leewz 06.08.2016 - 11:01
fuente

1 respuesta

1
  

... solicite al navegador que envíe una solicitud no autenticada

El navegador no sabe cómo realiza la autenticación el servidor. Se puede hacer con cookies de sesión, certificados de clientes, la dirección IP de origen de los clientes o simplemente porque el cliente puede acceder al servidor en todo.

Por ejemplo, a menudo usted tiene un Wiki de la empresa o un rastreador de errores dentro de la intranet de la empresa, es decir, no es accesible directamente desde el exterior. Si un atacante podría realizar una solicitud XMLHTTP "no autorizada" (es decir, sin cookies) a estos recursos internos desde una página externa (por ejemplo, mediante un anuncio dirigido), el atacante podría eliminar información interna importante de la compañía.

    
respondido por el Steffen Ullrich 07.08.2016 - 08:02
fuente

Lea otras preguntas en las etiquetas

Microsoft PKI CRL caducado ¿Pueden las tarjetas astilladas sin una raya o con una raya en blanco ser explotadas por este ataque?