JSONP के अलावा क्यों एक ही डोमेन नीति का पालन किया जा रहा है?क्यों क्रॉस-डोमेन AJAX कॉल की अनुमति नहीं है?
उत्तर
सुरक्षा कारणों से वही मूल नीति लागू की गई है; wikipedia से कोई प्रासंगिक वाक्य उद्धृत:
इस तंत्र, आधुनिक वेब अनुप्रयोगों है कि बड़े पैमाने पर HTTP कुकी निर्भर प्रमाणीकृत उपयोगकर्ता सत्र बनाए रखने के लिए के लिए एक विशेष महत्व भालू के रूप में सर्वर HTTP कुकी जानकारी के आधार पर कार्य संवेदनशील जानकारी प्रकट करने या राज्य-बदलते क्रियाओं को प्रकट करने के लिए।
असंबद्ध साइटों द्वारा प्रदान की गई सामग्री के बीच एक सख्त अलगाव साइट साइट पर डेटा गोपनीयता या अखंडता के नुकसान को रोकने के लिए बनाए रखा जाना चाहिए।
मूल रूप से, आप किसी भी वेबसाइट नहीं करना चाहते हैं (किसी भी वेबसाइट की तरह आप पर सर्फिंग जा सकता है - और हम सभी लोग कभी-कभी वेबसाइटों है कि तुम पर भरोसा नहीं करना चाहिए पर पहुंच पता) डेटा का उपयोग करने में सक्षम होने के किसी भी अन्य (जैसे आपका वेबमेल, या सोशल नेटवर्क पर खाता) से।
क्या ताजा कुकी का उपयोग करके उस सुरक्षा समस्या को आसानी से टाला जा सकता है? –
Same origin policy की वजह से।
समान मूल नीति संसाधनों के दुर्भावनापूर्ण उपयोग को रोकने के लिए मौजूद है। यदि क्रॉस-डोमेन स्क्रिप्ट एक्सेस को नियंत्रित करने वाले कोई नियम नहीं थे, तो असुरक्षित उपयोगकर्ताओं पर सभी तरह के विनाश को तोड़ना मुश्किल होगा। उदाहरण के लिए, एक दुर्भावनापूर्ण वेबसाइट के लिए आपकी सत्र जानकारी किसी अन्य साइट पर ले जाने और आपकी तरफ से क्रियाएं निष्पादित करना आसान होगा।
एक उदाहरण के लिए, इस पर विचार करें:
आप अपने पसंदीदा वेबमेल कार्यक्रम के लिए जाना - यह जीमेल, याहू मेल, हॉटमेल, या एक निजी कंपनी के आतंरिक वेबमेल कार्यक्रम हो सकता है।
साइन इन करने और अपने ईमेल की जांच करने के बाद, आप किसी नए टैब में खुलने वाली दुर्भावनापूर्ण साइट के लिंक पर क्लिक करते हैं।
दुर्भावनापूर्ण साइट http रेफरर की जांच करती है और देखती है कि आप अपने ईमेल खाते से आए हैं।
क्रॉस-डोमेन स्क्रिप्टिंग का उपयोग करके, दुर्भावनापूर्ण साइट आपके ईमेल टैब में वापस आती है और आपकी पता पुस्तिका और आपके सभी ईमेल डाउनलोड करती है (या फिर भी पॉपअप को बंद करने से पहले इसे प्राप्त कर सकते हैं)।
इसके बाद, पासवर्ड, वित्तीय डेटा और अन्य संवेदनशील सामग्री के लिए अपने ईमेल स्कैन करने के बाद, यह आपके सभी संपर्कों को उसी साइट का समर्थन करने से आपके द्वारा एक ईमेल भेजता है। और यह सिर्फ एक उदाहरण है। एक और कपटी साजिश में आपकी कंपनी का इंट्रानेट मकड़ी करने के लिए आपके ब्राउज़र का उपयोग करके एक दुर्भावनापूर्ण तृतीय पक्ष शामिल होगा, जो आपके साथ वर्गीकृत जानकारी को अवांछित सहयोगी के रूप में लीक करेगा!
http://jimbojw.com/wiki/index.php?title=Introduction_to_Cross-Domain_Ajax
- 1. $ .ajax(): उत्पत्ति शून्य की अनुमति नहीं है
- 2. "405 विधि की अनुमति नहीं है" - ASP.NET jQuery AJAX POST
- 3. सिल्वरलाइट से क्रॉसडोमेन कॉल कैसे करें?
- 4. क्यों स्ट्रिंग स्ट्रिंग की अनुमति है और कंपाइलर द्वारा int int की अनुमति नहीं है?
- 5. नेस्टेड फ़ंक्शंस की अनुमति नहीं है लेकिन क्यों नेस्टेड फ़ंक्शन प्रोटोटाइप की अनुमति है? [सी ++]
- 6. Xuggler MediaWriter ऑपरेशन की अनुमति नहीं है
- 7. Google क्रोम में क्रॉसडोमेन सेटिंग्स
- 8. आईई में HTTPS अजाक्स अनुरोध के साथ समस्याएं (क्रॉसडोमेन नहीं)
- 9. जावास्क्रिप्ट आपको संख्याओं पर सीधे तरीके से कॉल करने की अनुमति क्यों नहीं देता है?
- 10. स्टाइलिंग टेबल कॉलम की अनुमति क्यों नहीं है?
- 11. स्थिर कॉन्स फ्लोट की अनुमति क्यों नहीं है?
- 12. क्यों मेरे टेबललाउट को फुलाया जाने की अनुमति नहीं है?
- 13. क्यों हस्ताक्षरित नहीं हैं ओपनएमपी इंडेक्स चर की अनुमति है?
- 14. डब्ल्यूसीएफ में विधि अधिभार की अनुमति क्यों नहीं है?
- 15. सी # में स्थिर संरचनाओं की अनुमति क्यों नहीं है?
- 16. अज्ञात विधि में आउट पैरामीटर की अनुमति क्यों नहीं है?
- 17. .NET में डेटाटाइम निरंतर बनाने की अनुमति क्यों नहीं है?
- 18. बैकबोन आरईएसटी एपीआई सिफारिश/क्रॉसडोमेन
- 19. $ .get - उत्पत्ति की अनुमति नहीं है
- 20. अपूर्ण प्रकार की अनुमति नहीं है: स्ट्रिंगस्ट्रीम
- 21. jQuery ajax कॉल "नहीं मिला" त्रुटि
- 22. AJAX कॉल
- 23. JQuery AJAX क्रॉस डोमेन कॉल और अनुमति समस्या
- 24. AJAX कॉल
- 25. AJAX कॉल
- 26. पहचानकर्ता में # अनुमति क्यों नहीं है?
- 27. AJAX कॉल
- 28. mmap: ऑपरेशन की अनुमति नहीं है
- 29. एक jQuery AJAX कॉल
- 30. getExternalFilesDir() शून्य लौटाता है (अनुमति अनुमति नहीं)
dups पर अधिक: [क्यों AJAX अनुरोध एक ही डोमेन के लिए सीमित हैं?] (Http://stackoverflow.com/questions/3156710) और [क्यों क्रॉस-डोमेन अजाक्स एक सुरक्षा चिंता का विषय है?] (http://stackoverflow.com/questions/466737) –
संभावित डुप्लिकेट [एंटी-क्रॉस-डोमेन नीति का बिंदु क्या है?] (http: // stackoverflow।कॉम/प्रश्न/3113253/क्या-विरोधी-विरोधी-क्रॉस-डोमेन-नीति) –