Один из видов реализоации кросс-доменных запросов - вставка тега скрипта в тело страницы.
Это родило JSON with padding(JSONP), формирую строку запроса мы передаем параметр, который указывает с помошью какого колбека мы готовы обработать полученный джейсон. Сервер предоставляющий джейсон обворачивает свой ответ в этот колбек:
Сервер отвечает:
Это родило JSON with padding(JSONP), формирую строку запроса мы передаем параметр, который указывает с помошью какого колбека мы готовы обработать полученный джейсон. Сервер предоставляющий джейсон обворачивает свой ответ в этот колбек:
<script type="text/javascript"
src="http://server2.example.com/getjson?jsonp=parseResponse">
</script>
Сервер отвечает:
parseResponse({"Name": "Cheeso", "Rank": 7});
Осознал какую опасность может приносить такой сприпт, он может придти попробовать прочитать куку и сам вставить тег-скрипта или картинки с сорсом на свой сервер, а в ури указать секретные данные -- все данные прочитаны)
Комментариев нет:
Отправить комментарий