JSONP: JSON With Padding come usarlo, significato,implementaz...

La cosiddetta same domain policy è una restrizione presente nei recenti browser che impedisce a script scaricati dalla rete di accedere, tramite qualsiasi tipo di richiesta HTTP, a risorse che si trovano su server diversi rispetto a quello iniziale che ha inviato lo script. Questa inibizione non riguarda solo host diversi tra di loro, ma anche processi in ascolto su porte diverse della stessa macchina, il motivo principale, per il quale si è iniziato a chiudere l’accesso a siti esterni è stato quello di evitare il cross-site scripting (XSS).

Highlighted by gialloporpora

Attacco non persistente: Bob espone un servizio web che richiede autenticazione, e i suoi utenti registrano nel loro profilo dei dati sensibili. Alice si iscrive e diventa uno dei tanti utenti di Bob. Mallory, scopre una vulnerabilità in una pagina del sito di Bob. Visto che è un esperto di XSS, costruisce una url che sfrutta questa falla e la invia via mail ad Alice, facendosi passare per Bob (email spoofing). Alice è distratta e non si accorge che la mail non proviene dal sito di Bob, e clicca sul link in essa contenuto. Se in quel momento Alice era contemporaneamente collegata, con un’altra finestra del suo browser, al sito di Bob, Mallory può farsi inviare dallo script i dati sensibili di Alice (contenuti ad esempio in cookies non criptati).

Highlighted by gialloporpora