为什么不允许Ajax HTTP请求跨越域边界。
因为AJAX请求是(a)使用用户凭据提交的,并且(b)允许调用方读取返回的数据。
这些因素的组合可能导致漏洞。有建议添加一种省略用户凭据的跨域AJAX形式。
您只需将img,脚本或iframe元素添加到文档中
这些方法均不允许调用者读取返回的数据。
(除非脚本经过故意设置以允许这种情况,允许的跨域脚本编写,或者有人进行了可怕的模仿)。
您可以完全不使用XSS进行攻击。发布到第三方网站
这不是XSS攻击。这是跨站点请求伪造攻击(XSRF)。有解决XSRF攻击的已知方法,例如包含一次性令牌或加密令牌,以验证提交是否有意来自用户并且不是从攻击者代码启动的。
如果您允许跨域AJAX,则将失去此保护措施。攻击代码可能从银行网站请求一个页面,读取该页面上的所有授权令牌,然后在第二个AJAX请求中提交它们以执行转移。那
将 是跨站点脚本攻击。
