作者Derix (PalaPala)
看板Ajax
標題[問題] 些許問題想發問
時間Tue Jul 26 18:06:06 2011
在下為js新手,想請問各位前輩些許問題...
1.是否可能使用js開啟新頁面後,接著自動在該新頁面執行指定的js函式?
如:在A頁面的網址執行
javascript:window.open('B.html');後,接著自動在B頁面執
行其他script如
alert('HI');呢(並非在B頁面寫入alert函式)?
2.在A頁面執行,從B網域得到的xmlhttprequest.responsetext的script內容,因為same
origin policy的關係,不能直接eval使用,那是否有其他方法可以間接執行該script
呢?
3.承問題2,如果有的話,是否就代表該same origin policy事實上是不夠完備的?
4.在HTML裡,嵌入<script src = "
http://xxx.xx/A.js">的動作可以跨網域取得A.js的
script執行,那為何還需要same origin policy來防止XSS的攻擊呢?
感謝指點迷津的各位大大們,如果小的觀念錯誤的話,還希望不吝給小的指導!
謝謝Orz
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.207.129
1F:推 gs1458:1.是可以,不過你直接在B寫上要執行的函式不就好了? 07/26 19:44
2F:→ gs1458:我也是新手,原來跨站網路攻擊叫做XSS阿OwO 07/26 19:56
3F:→ Derix:但因為B頁面不是我能控制的...所以想了解有沒有辦法在A頁面 07/26 20:40
4F:→ Derix:輸入的js程式裡有辦法讓跳轉後的頁面能夠執行特定程式碼@@ 07/26 20:41
5F:→ Derix:可以請教g大要怎麼樣實現這樣的跨站函式執行呢? @@a 07/26 20:41
6F:推 gs1458:很抱歉這是不可能的,這是隱私權問題... 07/26 22:18
7F:→ gs1458:如果能這樣那每個人經由你網站到該網就能竊取帳密了= = 07/26 22:19
8F:→ Derix:那如果要在B頁面執行的js程式是內建在B頁面裡,那能呼叫嗎? 07/26 23:09
9F:→ gs1458:這我沒有試過,你可以試試看OwO+ 07/27 01:33