2009/6/22 Eduardo Ojeda <[email protected]>: >> vulnerabilidad así que todavía se puede hacer. Y confío en que se >> seguirá pudiendo hacer porque de lo contrario serian imposibles cosas >> como google-maps. >> > > Me gustaria saber por que decis que JSON es un "parche asqueroso que hace lo > mismo que el XSS"... No entiendo.
El xss lo que hace es que un script trae información de un dominio que no es el mismo donde está contenida la página. Por ejemplo, antes de que se pusieran las "medidas de seguridad", era posible mediante javascript llenar un div con una página de otro servidor, o con xmlhttprequest hacer un llamado a una página externa (de otro servidor) y traer el resultado para usarlo en tu propia página. Ahora como "arreglaron" ese problema, la única forma de traer datos de otro servidor es incluir un javascript que está alojado en el otro servidor. Ese javascript define una función y al llamarla devuelve los datos (hardcodeados en la función) que vinieron del servidor externo. Para poder hacer varios llamados lo que hace es ir definiendo funciones nuevas y llamar a la última que se ha cargado. Yo lo veo como algo demasiado sucio pero al menos se salta la restricción de la comunicación entre sitios y en definitva logra lo mismo que el XSS, sólo que de manera más rebuscada.
