V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TakanashiAzusa
V2EX  ›  浏览器

既然是否允许跨域是浏览器来做判断的,那么有没有可能一些小浏览器绕过了这个限制?

  •  
  •   TakanashiAzusa · 2015-07-06 15:57:22 +08:00 · 4851 次点击
    这是一个创建于 3435 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT。昨天研究了下跨域判定,发现是浏览器根据服务器返回的http头来判断的,允不允许发送跨域请求其实只看浏览器肯不肯,相当于是个君子协议。
    那有没有可能某些小浏览器厂家不遵守这个限制或者加后门?(还是说因为浏览器开发门槛比较高,能做到自主研发核心或者更改开源内核的都是大厂,比较爱惜羽毛,不会留这种明显作死的后门?)

    16 条回复    2015-07-06 19:59:10 +08:00
    nigelvon
        1
    nigelvon  
       2015-07-06 16:01:33 +08:00
    大厂商不会,小厂商无视(不会影响到一般用户)。
    TakanashiAzusa
        2
    TakanashiAzusa  
    OP
       2015-07-06 16:03:45 +08:00
    @nigelvon 但这个不是明显的安全漏洞么。当然我感觉国内很多直接用webkit内核的厂家应该不会这么蛋疼做这种损人不利己的事。不过脑洞开大点,有没有可能比如说一个有心做黑产的团体,抱着不纯的目的,开发一款浏览器做这种事?
    alex321
        3
    alex321  
       2015-07-06 16:04:55 +08:00
    其实。。。APP 就是啊。
    sy1989
        4
    sy1989  
       2015-07-06 16:08:02 +08:00
    脚本跨域有安全问题的,怎么可能绕过
    nigelvon
        5
    nigelvon  
       2015-07-06 16:13:23 +08:00
    @TakanashiAzusa 不会的,如果对所有域名取消跨域限制,很容易被发现并传播,没有哪个大厂会做这种傻事情。
    要做也只针对特定的域名,这样的话没什么普遍危害性,你用他的浏览器,他要留后门太容易了。
    只要其他开发者无法利用这些“后门”那就是“安全”的。
    Karblue
        6
    Karblue  
       2015-07-06 16:15:29 +08:00
    跨域最终走到的还是数据层啊。浏览器会判断是不是同一个域名,小厂商留这个后面干什么呢。有什么卵用呢?
    em70
        7
    em70  
       2015-07-06 16:19:37 +08:00
    chrome可以设置允许跨域,用来调试用,但只是个别浏览器支持没意义啊
    xiaojj
        8
    xiaojj  
       2015-07-06 16:25:19 +08:00
    只能对自己起作用吧,而且浏览器留这种后门也没什么用吧
    我能想到的就是在网页上可以用js采集另外网站的内容了
    或者可以随意获取另外网站的cookie了
    dorentus
        9
    dorentus  
       2015-07-06 17:10:40 +08:00
    都有自己的浏览器了,就算想搞些小动作也没必要通过这个,直接用浏览器的进程随便搞就是了。
    otakustay
        10
    otakustay  
       2015-07-06 17:13:52 +08:00
    当然可以做啊,比如360出个浏览器允许任意域的脚本向360 post数据,我觉得是很“正常”的,国内厂商肯定干得出来
    virusdefender
        11
    virusdefender  
       2015-07-06 17:32:24 +08:00
    部分浏览器存在特权域 可以随便执行指令的
    TakanashiAzusa
        12
    TakanashiAzusa  
    OP
       2015-07-06 18:18:46 +08:00
    @alex321 不过APP没多少其余网站的内容,应该还算正常吧?。。
    @sy1989 不允许跨域这个限制就是浏览器做的啊,我现在的意思是万一某些浏览器本身就有问题呢?
    @Karblue 我的意思就是浏览器如果不拦截的话,应该会有安全问题。。
    @em70 个人的话确实没太大意义,所以我前面是说有没有可能某个特殊的浏览器产品就是这样的。。
    @dorentus @otakustay @virusdefender @xiaojj 我也就开了个脑洞而已,不过web安全这块还不是怎么特别熟悉,所以也说不出个所以然,只是想了下任何站点都可以随意请求其他域名下的内容的话,感觉挺严重的。。
    bk201
        13
    bk201  
       2015-07-06 18:35:32 +08:00
    对自己产品有什么好处?没好处不就遵守了
    aliuwr
        14
    aliuwr  
       2015-07-06 18:55:18 +08:00
    @TakanashiAzusa 楼主可以上乌云搜索下浏览器相关的漏洞寻找安慰。
    loading
        15
    loading  
       2015-07-06 18:57:30 +08:00 via Android
    没必要给第三方提供便利,自己用后门不更好?
    yeyeye
        16
    yeyeye  
       2015-07-06 19:59:10 +08:00
    在没有发生之前 你讲再多道理也没用 等证实了 别人虽然会说你是预言帝但是八成也是认为你是瞎猜的

    所以这话题有意义么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1046 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:04 · PVG 03:04 · LAX 11:04 · JFK 14:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.