服务器端请求和XmlHTTPRequest (客户端)和安全性

Question

我想知道以下几点：

当我将XmlHTTPrequest发送到域外的外部源时，当与same-origin-policy发生冲突时，它将失败。这是出于安全原因。我编写的代码将在有限制的客户端PC上执行。

但是，当我使用PHP脚本并使用curl或file_get_contents访问外部源时，我的服务器就可以这样做了。我可以使用XmlHTTPRequest将外部源输出到我的站点。

因此，以PHP或ASPX为中介，我可以将源输出到我的站点，而这些源是我无法用XmlHTTPRequest访问的。

• 为什么允许通过服务器进行“工作”，在我看来，同样的安全风险也适用？
• 在XmlHTTPRequest中还有哪些其他安全问题？

显然，不允许这样的请求从用户的文件系统加载文件。但是，您可以使用外部源的服务器请求来绕过same-origin-policy封锁，比如从example.com\file.xml。

Answer 1

当我的浏览器向一个网站提出请求时，它包含了很多关于我的信息(比如我的ip地址和我为该网站提供的任何cookie)，这些信息都可以用于身份验证。

如果您要使用XMLHttpRequest向另一个站点提出请求，那就好像我亲自访问过它一样。如果响应中的数据提供给您的JavaScript，那么您就可以访问(例如)我的网络邮件、我的社交网络配置文件、我的在线银行和我连接到的局域网上的公司内部网。

来自你的服务器的请求来自你而不是我。你不会有我的ip地址/cookie/等等。这个网站不会给你我和它之间的任何隐私数据。