运行在文件系统上的HTML/Javascript应用程序的安全性问题
运行在文件系统上的HTML/Javascript应用程序的安全性问题
提问于 2019-05-15 23:42:04
我正在组建一个小工具,一些商业人士可以在他们的本地文件系统上运行,因为我们不想为它设置主机。
基本上,它只是HTML + Javascript(使用jQuery)从第三方使用REST提取一些报告。
问题是,FF3和IE不允许ajax调用,我得到:
Access to restricted URI denied" code: "1012
显然它是一个XSS问题......我该如何解决它?返回的数据是XML格式。
我试图这样做:
$.get(productUrl, function (data){
alert (data);
});
编辑:要清楚......我没有为此设置内部主机(通向大量繁文缛节),由于数据被检索,我们无法在外部托管。
编辑#2:一点点测试表明我可以使用IFRAME来发出请求。有谁知道使用隐藏的IFRAME是否有任何缺点?
回答 2
Stack Overflow用户
发布于 2019-05-16 08:40:32
在类似的情况下,我的解决方案是使用Mark Of The Web,这是IE认可的特殊HTML注释。它将页面放在不同的安全区域中。
参考:MSDN
Stack Overflow用户
发布于 2019-05-16 09:16:46
如果您安装了Python,那么提供文件的Web服务器就可以这么简单
python -c “import SimpleHTTPServer;SimpleHTTPServer.test()”
编辑: 原始海报不能使用这种方法,但总的来说,我认为这是解决这个问题的方法,为未来的用户解决这个问题。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/-100001145
复制相关文章
相似问题