pushState如何防止潜在的内容伪造?
|
从GitHub的博客中可以看出,他们已经实现了HTML5的JavaScript
pushState
功能,用于树浏览(对于现代浏览器),带来了没有Hash Bangs的AJAX导航。
代码很简单:
$(\'#slider a\').click(function() {
history.pushState({ path: this.path }, \'\', this.href)
$.get(this.href, function(data) {
$(\'#slider\').slideTo(data)
})
return false
})
这非常优雅地允许他们:
通过AJAX而不是整个页面仅请求新内容
动画过渡
并更改浏览器的URL(不仅仅是Twitter的#
— twitter.com/stackexchange→twitter.com/#!/stackexchange)
我的问题是,JavaScript如何防止一个网站使用“ 0”来模仿另一个网站,从而导致令人信服的网络钓鱼攻击?
至少似乎无法更改域,但是站点中的多个路径又可能由多个不相关且互不信任的内容提供者处理呢?一条路径(即/ joe)是否可以模仿另一条路径(pushState / jane)并提供可能具有恶意目的的模仿内容?
没有找到相关结果
已邀请:
2 个回复
耐扫鹤胶鞭
的更多详细信息-看来这对他们来说不是问题。这里还讨论了一个可能的“ 0”安全漏洞,但这是一个不同的关注点,即是否能够在其他人的URL末尾隐藏恶意查询字符串。
窝头菊