Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Обход ограничений безопасности Ajax |
31.07.2008, 11:04
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Обход ограничений безопасности Ajax
Подскажите пожалуста, каким образом можно отправить AJAX запрос на сторонний URL. Я нашел вариант для Internet Explorer:
Код:
<script>
function xssDomainRequest(){
var exampleCode = "var xmlHttp = new ActiveXObject('Microsoft.XMLHTTP');xmlHttp.open('TRACE','http://mail.ru',false);xmlHttp.send();xmlDoc=xmlHttp.responseText;alert(xmlDoc);";
cExampleCode = encodeURIComponent(exampleCode + ';top.close()');
var readyCode = 'font-size:expression(execScript(decodeURIComponent("' + cExampleCode + '")))';
showModalDialog('http://www.mail.ru',null,readyCode);}
</script>
Все вроде логично, но IE выдает ошибку, недопустимый аргумент, походу он не пропускает expression в showModalDialog. Что делать???  |
|
|
31.07.2008, 11:38
|
|
Участник форума
Регистрация: 10.09.2007
Сообщений: 131
Провел на форуме:
829460
Репутация:
170
|
|
на сторонний сайт нельзя ajax.
|
|
|
|
31.07.2008, 12:56
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Не ужели еще ничего не придумали на эту тему??
|
|
|
|
03.08.2008, 16:57
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Как раз на эту тему писал:
http://raz0r.name/articles/html-js-vzaimodejstvie-s-udalennym-serverom/
|
|
|
|
11.08.2008, 17:02
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Тоесть, как я понял, до выхода IE8 с поддержкой XDomainRequest выполнить запрос, типо trace, не получится, так?
|
|
|
|
14.08.2008, 00:54
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
почему же только IE, в FireFox 3 уже есть поддержка междоменных вызовов посредством AJAX
|
|
|
|
14.08.2008, 10:59
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Firefox3 - это гуд, я уже даже разобрался, че да как. А уязвимость в IE с showModalDialog походу прикрыли((
|
|
|
|
14.08.2008, 12:23
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Не, с ним тоже трабл, при попытке сделать запрос на другой домен, он его не грузит, а в консоли ошибок пишет, что ошибка системы безопасности, содержимое "мой адрес" не имеет права загружать данные с "запрашиваемый адрес".
|
|
|
|
14.08.2008, 22:51
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
ты точно разобрался? Скрипт, которому ты отправляешь запрос, должен возвращать специальный заголовок.
|
|
|
|
10.09.2008, 16:55
|
|
Новичок
Регистрация: 19.12.2007
Сообщений: 15
Провел на форуме:
114913
Репутация:
13
|
|
Спасибо, все работает. Теперь думаю, каким бы образом фальсифицировать заголок стороннего сайта. Есть идеи на этот счет?
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.gif){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
