这是一个创建于 3829 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT。昨天研究了下跨域判定,发现是浏览器根据服务器返回的http头来判断的,允不允许发送跨域请求其实只看浏览器肯不肯,相当于是个君子协议。
那有没有可能某些小浏览器厂家不遵守这个限制或者加后门?(还是说因为浏器开发门槛比较高,能做到自主研发核心或者更改开源内核的都是大厂,比较爱惜羽毛,不会留这种明显作死的后门?)
 | 1 nigelvon 2015-07-06 16:01:33 +08:00 大厂商不会,小厂商无视(不会影响到一般用户)。 |
 | 2 TakanashiAzusa OP @nigelvon 但这个不是明显的安全漏洞么。当然我感觉国内很多直接用webkit内核的厂家应该不会这么蛋疼做这种损人不利己的事。不过脑洞开大点,有没有可能比如说一个有心做黑产的团体,抱着不纯的目的,开发一款浏览器做这种事? |
 | 3 alex321 2015-07-06 16:04:55 +08:00 其实。。。APP 就是啊。 |
 | 4 sy1989 2015-07-06 16:08:02 +08:00 脚本跨域有安全问题的,怎么可能绕过 |
| 5 nigelvon 2015-07-06 16:13:23 +08:00 @TakanashiAzusa 不会的,如果对所有域名取消跨域限制,很容易被发现并传播,没有哪个大厂会做这种傻事情。 要做也只针对特定的域名,这样的话没什么普遍危害性,你用他的浏览器,他要留后门太容易了。 只要其他开发者无法利用这些“后门”那就是“安全”的。 |
 | 6 Karblue 2015-07-06 16:15:29 +08:00 跨域最终走到的还是数据层啊。浏览器会判断是不是同一个域名,小厂商留这个后面干什么呢。有什么卵用呢? |
 | 7 em70 2015-07-06 16:19:37 +08:00 chrome可以设置允许跨域,用来调试用,但只是个别浏览器支持没意义啊 |
 | 8 xiaojj 2015-07-06 16:25:19 +08:00 只能对自己起作用吧,而且浏览器留这种后门也没什么用吧 我能想到的就是在网页上可以用js采集另外网站的内容了 或者可以随意获取另外网站的cookie了 |
 | 9 dorentus 2015-07-06 17:10:40 +08:00 都有自己的浏览器了,就算想搞些小动作也没必要通过这个,直接用浏览器的进程随便搞就是了。 |
 | 10 otakustay 2015-07-06 17:13:52 +08:00 当然可以做啊,比如360出个浏览器允许任意域的脚本向360 post数据,我觉得是很“正常”的,国内厂商肯定干得出来 |
 | 11 virusdefender 2015-07-06 17:32:24 +08:00 部分浏览器存在特权域 可以随便执行指令的 |
| 12 TakanashiAzusa OP |
 | 13 bk201 2015-07-06 18:35:32 +08:00 对自己产品有什么好处?没好处不就遵守了 |
 | 14 aliuwr 2015-07-06 18:55:18 +08:00 @TakanashiAzusa 楼主可以上乌云搜索下浏览器相关的漏洞寻找安慰。 |
 | 15 loading 2015-07-06 18:57:30 +08:00 via Android 没必要给第三方提供便利,自己用后门不更好? |
 | 16 yeyeye 2015-07-06 19:59:10 +08:00 在没有发生之前 你讲再多道理也没用 等证实了 别人虽然会说你是预言帝但是八成也是认为你是瞎猜的 所以这话题有意义么? |
Select Language