谨记:跨域相关的东西,有接触过,但是没有深入过。说实话,我个人还没有完完全全独立一个人去完成一个大项目并维护比较长时间(一般人估计都没有这样的机会吧),然后不断完善它,很多非业务逻辑相关的代码健壮性增强没有最直接的处理过,都是间接接触过,所谓在前人的基础上进行优化和微调吧,也是因为对自己要求太低,所以错过了很多更好地夯实底层知识点的机会!项目经验的积累,不仅仅要有全局的掌控力,还需要深入到局部,因为关键时刻的对决,往往细节决定成败!一个功能很强大的系统,意味着破坏性能力也很强,安全不过关,整个系统都会是失败的!之前在产品开发的时候,有间接性的碰到用户类似的挑战。系统安全性,除了系统建设之初的考虑,还得在编写代码时,时刻思考和考量,这样才能不断提高自己的能力,写出质量更高的代码!加油!
前记
零星回忆一下错过了那些提高自己的机会…
- 记得之前是ajax异步请求的时候,遇到跨域问题,后来没有选择设置服务器的
Access-Control-*参数,而是换成了同源对接口进行了一次毫无优雅可言的处理,通过file_get_contents(php)去拉取对应数据再处理的。 - 用过
JSONP(回调函数+数据), 可惜当时只是查了下帮助手册怎么用,然后就当ajax一样使用,调通后就去写业务逻辑了。 - 其次,在阅读犀牛书《JavaScript权威指南》的时候,也有偶遇
<script>,不过只是过了一遍。一下也说不出借助<script>发送HTTP请求的所以然来。 - 之前有一个PHP项目,对http接口参数和数据处理时,一般会先对用户输入的数据用
htmlspecialchars处理,可以简单防一下XSS攻击。 - …
了解
参考列表: (C, D未细看)
基础概念之后,主要讲了两种CORS分类, 简单请求和非简单请求
D. xsrf-protection-in-angular-js
E. XSS
跨域请求
跨域攻击
解决办法
其他
未完待续
