 |
1
yu099 May 3, 2018 via Android
这个安全做的不错啊。很难
|
 |
2
msg7086 May 3, 2018
你要是做成了,他们就有大麻烦了,做系统的人怕不是要赔死。
|
|
6
msg7086 May 3, 2018
@euzen
如果「破解」成功了,要么是做系统的人有大麻烦了,要么是浏览器厂商有大麻烦了。毕竟是个惊天大漏洞。 你想想,要是第三方网站可以读取你网上银行登录界面数据,还能帮你登录网银,还能在上面读取数据发给第三方网站,你说是不是全球金融行业都要恐慌了。 要跨过浏览器保护的坎,你可以做成浏览器插件,给自己赋予读写某个网站所有数据的权限,然后让你们的员工都装上,特别是弹出「允许 XX 插件读写 XX 网站的所有数据」权限要求的时候,点击允许按钮。 然后就可以为所欲为了。 |
 |
7
eslizn May 3, 2018
代理
|
 |
8
euzen OP @msg7086 是已经放弃 JS 读取内容这个想法了,因为知道跨域的问题是无法解决的。“破解”问的是有没有其他的出路。你说的插件的确是一个办法,但安装插件维护麻烦成本太高。更改 IE 设置允许跨域更简单,但这不是从“技术”层面上解决。提这个问题是希望得到本人知识面以外的一点指点,借此开阔眼界。
|
 |
10
momocraft May 3, 2018  2
> js 學習者的三大終極問題之一: 怎樣 (違反瀏覽器的安全策略並) 實現跨域請求
|
|
11
msg7086 May 3, 2018
他说的反向代理,但是和要求有出入。
禁止第三方读取是原系统的要求,想要绕过必然要走一些歪路。 正道当然是类似 CORS 这样,直接和原系统 API 交互。 没有正道可走的话,就得走成本高昂的歪路了。 我觉得吧,不管哪条歪路,成本高昂是跑不掉了。 |
|
14
euzen OP @msg7086 只要用户那里无需做特别设置,付出一定代价还是可以接受的,但了解越多,对这个系统的接入越没信心了。
一开在自己服务后台通过 PHP curl 在对方服务上获取用户信息这个轻易搞定,以为整个任务难度不大,结果卡在浏览器安全策略上。也算长知识了。 |
|
16
msg7086 May 4, 2018
@euzen Flash 跨域也需要配置文件。
我说过了,如果什么配置都不用,也不用像装插件那样审核+确认,就可以直接跨域读写,那就是全球性的安全危机了。你的方案如果能读写你们的内部系统,岂不是也能读写网银的页面了。 |
 |
17
zhaishunqi May 8, 2018
@msg7086
确实如你所说,没接触过这部分,但是现在想想之前公司的单点登录系统,确实是需要安装一个认证软件才能用. |
|
18
msg7086 May 9, 2018
@zhaishunqi 单点登录是需要被登录的服务器配合开白名单的,CORS 或者 Crossdomain.xml 。
直接跨域读写是不行的。 |
Select Language