हमारे पास एक आंतरिक वेब एप्लिकेशन है जो एक संग्रह के रूप में कार्य करता है जिसके लिए उपयोगकर्ता फ़ाइलें अपलोड कर सकते हैं। ये फ़ाइलें HTML पृष्ठों सहित कोई प्रारूप हो सकती हैं।एचटीएमएल डाउनलोड में एक्सएसएस से कैसे बचा जा सकता है?
हमने आईई 8 की तुलना में परीक्षण किया है, यदि आप एक HTML फ़ाइल डाउनलोड करते हैं जिसमें आपकी कुकीज़ तक पहुंचने का प्रयास करने वाली कुछ स्क्रिप्ट शामिल है और डाउनलोड करने के बाद, आप "ओपन" विकल्प चुनते हैं, स्क्रिप्ट निष्पादित होती है और आपकी कुकी जानकारी को बिना बिल्कुल समस्याएं
दरअसल, वह स्क्रिप्ट सर्वर को कॉल करने के लिए XmlHttpRequest ऑब्जेक्ट का उपयोग कर सकती है और फ़ाइल डाउनलोड करने वाले उपयोगकर्ता के सत्र में कुछ दुर्भावनापूर्ण संचालन कर सकती है।
क्या इससे बचने का कोई तरीका है? हमने परीक्षण किया है कि क्रोम और फ़ायरफ़ॉक्स दोनों ऐसा नहीं होने देते हैं। आईई 8 सहित किसी भी ब्राउज़र में इस व्यवहार से कैसे बचा जा सकता है?
वास्तव में "ओपन" क्या करता है? ब्राउज़र में पेज दिखाओ? यदि हां, तो ऐसा होने पर पृष्ठ का URL क्या होता है? – bzlm
@bzlm: यह किसी भी अनुलग्नक की तरह है; यदि आप (जो सामग्री-स्वभाव) डाउनलोड खिड़की के लिए संकेत करने के लिए ब्राउज़र के लिए मजबूर है, तो आप अभी भी खुला क्लिक कर सकते हैं, और यह इसे लोड करने के लिए इस्तेमाल यूआरएल है, जो अपने कुकीज़ के रूप में एक ही डोमेन पर स्पष्ट रूप से है का उपयोग कर खोलता है, इसलिए की मेरी सुझाव एक वैकल्पिक डोमेन पर चल रहा है (डाउनलोड)। –
@bzlm सही रास्ते पर है: यदि आप एक HTML फ़ाइल स्थानीय रूप से खोलते हैं, तो यह एक डोमेन नीति के कारण एक दूरस्थ सर्वर करने के लिए कुकीज़ का उपयोग, और न ही अजाक्स अनुरोध जारी करने के, नहीं कर सकेंगे। केवल अगर यह संभव है कि सर्वर पर सीधे खोला गया है। –