我需要找到一种方法来通知第三方网站有关我的网站上的用户操作。不需要服务器端连接。使用私钥散列用于签署请求,以便用户不能滥用它。HTML/Javascript:跟踪回拨到外部网站
我的问题是我如何安全地发送此请求。
- 跟踪图像:XSA可能
- iframe中:XSA,帧断路器
- 脚本包括:恶在其最好
- JSONP(用jQuery):??
- 其他?
有人知道是否有可能在JSONP答案中注入JavaScript?我的意思是绕过浏览器边界JSONP是Javascript,它调用JSON作为参数的函数,但它也可能包含其他JavaScript调用。 jQuery是否以某种方式检查jsonp回调中是否存在恶意内容?
查看RPC http://en.wikipedia.org/wiki/Remote_procedure_call – Chumillas 2011-06-15 12:06:32
如果您不信任第三方,那么您不应该使用JSONP。这只是一个脚本,包括一个商定的回调。 – Magnar 2011-06-15 14:10:26