1. Inicio
  2. Pregunta y respuesta
  3. "Misma política de origen" y scripts cargados desde google: ¿una solución vulnerable?

"Misma política de origen" y scripts cargados desde google: ¿una solución vulnerable?

2010-01-19 20 views
10

Leí la pregunta aquí en SO "jQuery Linking vs. Download" y de alguna manera no la entiendo."Misma política de origen" y scripts cargados desde google: ¿una solución vulnerable?

¿Qué ocurre si aloja una página en http://yourserver.com, pero carga la biblioteca jQuery desde http://ajax.googleapis.com y luego usa las funciones definidas en el script jQuery?

¿La "misma política de origen" no cuenta en este caso? Quiero decir, ¿puedes hacer llamadas AJAX al http://yourserver.com?
¿Se está ejecutando el JavaScript considerado como procedente del yourserver.com?

Mi punto aquí es, usted no sabe lo que el usuario ha descargado de un servidor de terceros (lo siento, Google), ¿y aún el código que se ejecuta en su computadora es tan bueno como el que descargaría de su servidor?

EDITAR: ¿Significa _que si utilizo un contador de estadísticas web de un tercero que no conozco muy bien, podrían "inyectar" algún código y llamar a mis servicios web como si su código fuera parte de ¿mía?

Fuente

2010-01-19 naivists

+0

(Si ejecuta http simple, no es así usted sabe de dónde viene el código.) –

Respuesta

6

El propietario del sitio http://yourserver.com/ debe confiar en el contenido al que hace referencia desde otros servidores (en este caso, de Google). La misma política de origen no se aplica a las etiquetas "script".

Por supuesto, los scripts de los servidores extranjeros (una vez cargados) tienen acceso a todo el DOM: por lo tanto, si el contenido foráneo está en peligro, puede haber exposiciones de seguridad.

Como con muchas cosas en el mundo de la web, se trata de trust y gestión continua.

Editar:

¿Quiere decir _that si uso una red estadísticas mostrador de una tercera parte que no sé muy bien, puede ser que "inyectar" un cierto código y poner en mis servicios web como si su código fuera parte mío?

Sí.

Fuente

2010-01-19 13:27:46 jldupont

+0

Gracias por la respuesta. Lo estoy marcando como aceptado, aunque todavía no me gusta la idea de que haya scripts de terceros en mi página. Pero, como dices, todo se reduce a confiar ... o no confiar ;-) – naivists

1

Sí, la política no se aplica a las etiquetas <script>.

Si alguien ha podido hackear la tienda de scripts de google, afectaría a cada página servida desde cada dominio, que usa google.com como su host para scripts.

Fuente

2010-01-19 13:26:33 Cheeso

+0

la misma política de origen es un conjunto de reglas para javascript. – rook

+0

Entiendo de qué se trata. Mi punto es que no se aplica a los scripts cargados desde etiquetas

  • 11. Solución de política del mismo origen que utiliza document.domain en Javascript
  • 12. HTML5 Canvas getImageData y política de mismo origen
  • 13. política del mismo origen - API públicas AJAX y utilizando
  • 14. Por qué la etiqueta HTML SCRIPT no está sujeta a la misma política de origen
  • 15. WCF REST con jQuery AJAX - eliminando/trabajando alrededor de la misma política de origen
  • 16. ¿Cómo se aplica la misma política de origen a las direcciones IP?
  • 17. Jquery .load Misma directiva de origen
  • 18. ¿Deshabilitar la misma política de origen/hacer XMLHttpRequests de dominio cruzado en WebKit WebView?
  • 19. ¿Cuál es el modelo de amenaza para la misma política de origen?
  • 20. ¿Existen diferencias sustanciales en la forma en que los navegadores implementan la misma política de origen?
  • 21. ¿Puedo deshabilitar SOP (la misma política de origen) en cualquier navegador para el desarrollo?
  • 22. ¿Usa tareas personalizadas de MSBuild desde la misma solución?
  • 23. Cómo eliminar enlaces de control de origen TFS para una solución desde la línea de comando
  • 24. Política de mismo origen en términos de Layman
  • 25. ¿Hay alguna manera de evitar la misma política de origen de Javascript/jQuery para el acceso local?
  • 26. ¿Por qué $ .post() está sujeto a la misma política de origen, pero está enviando un formulario con method = 'POST' correcto?
  • 27. Deshabilitar la política del mismo origen en Safari
  • 28. ¿Es Spring - SpEL vulnerable?
  • 29. Una estrategia contra la política y una política contra la estrategia
  • 30. Google Chrome "window.open" ¿solución alternativa?

    •  Cuestiones relacionadas