作者Derix (PalaPala)
看板Ajax
标题[问题] 些许问题想发问
时间Tue Jul 26 18:06:06 2011
在下为js新手,想请问各位前辈些许问题...
1.是否可能使用js开启新页面後,接着自动在该新页面执行指定的js函式?
如:在A页面的网址执行
javascript:window.open('B.html');後,接着自动在B页面执
行其他script如
alert('HI');呢(并非在B页面写入alert函式)?
2.在A页面执行,从B网域得到的xmlhttprequest.responsetext的script内容,因为same
origin policy的关系,不能直接eval使用,那是否有其他方法可以间接执行该script
呢?
3.承问题2,如果有的话,是否就代表该same origin policy事实上是不够完备的?
4.在HTML里,嵌入<script src = "
http://xxx.xx/A.js">的动作可以跨网域取得A.js的
script执行,那为何还需要same origin policy来防止XSS的攻击呢?
感谢指点迷津的各位大大们,如果小的观念错误的话,还希望不吝给小的指导!
谢谢Orz
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.113.207.129
1F:推 gs1458:1.是可以,不过你直接在B写上要执行的函式不就好了? 07/26 19:44
2F:→ gs1458:我也是新手,原来跨站网路攻击叫做XSS阿OwO 07/26 19:56
3F:→ Derix:但因为B页面不是我能控制的...所以想了解有没有办法在A页面 07/26 20:40
4F:→ Derix:输入的js程式里有办法让跳转後的页面能够执行特定程式码@@ 07/26 20:41
5F:→ Derix:可以请教g大要怎麽样实现这样的跨站函式执行呢? @@a 07/26 20:41
6F:推 gs1458:很抱歉这是不可能的,这是隐私权问题... 07/26 22:18
7F:→ gs1458:如果能这样那每个人经由你网站到该网就能窃取帐密了= = 07/26 22:19
8F:→ Derix:那如果要在B页面执行的js程式是内建在B页面里,那能呼叫吗? 07/26 23:09
9F:→ gs1458:这我没有试过,你可以试试看OwO+ 07/27 01:33