这很奇怪,我想知道是否有人可以阐明为什么会发生这种情况。
基本上,我一直在努力尝试测试 JSONP,以便我可以实现其他网站可以使用的 JSON Web 服务。我在本地主机上进行开发——特别是 Visual Studio 2008 和 Visual Studio 2008 的内置 Web 服务器。
因此,作为使用 jQuery 运行的 JSONP 测试,我实现了以下内容:
$().ready(function() {
debugger;
try {
$.getJSON("<%= new Uri(Request.Url, "/").ToString() %>XssTest?callback=?", function(data) {
alert(data.abc);
});
} catch (err) {
alert(err);
}
});
在服务器上..
<%= Request["callback"] %>({abc : 'def'})
所以最终发生的事情是我在服务器上设置了一个断点,并且我在第一个“调试器”上都得到了断点;客户端脚本以及服务器上的语句。页面加载后确实调用了 JSONP URL。效果很好。
我遇到的问题是回调永远不会执行。我在 IE8 和 Firefox 3.5 中都对此进行了测试。没有人会调用回调。也从未达到 catch(err) 。什么都没发生!
我已经坚持了一个星期,甚至在指定端口上的 Telnet 中使用手动键入的 HTTP 请求进行了测试,以确保服务器正在返回格式......
callbackfn({abc : 'def'})
.. 确实如此。
然后我恍然大悟,如果我将主机名从 localhost 更改为带有全局化符 ('.') 的 localhost 会怎么样,即 http://localhost.:41559/而不是 http://localhost:41559/ (是的,向任何主机名添加一个点都是合法的,它对于 DNS 就像 global:: 对于 C# namespace 一样)。然后它起作用了!当我刚添加一个点时,Internet Explorer 和 Firefox 3.5 终于向我显示了一条警告消息。
所以这让我想知道,这是怎么回事?为什么后期脚本标签生成会使用 Internet 主机名而不是普通的本地主机?或者这是正确的问题吗?
显然这是出于安全原因而实现的,但他们试图保护什么?而且,通过让它与点一起工作,我是否只是暴露了此安全功能中的安全漏洞?
顺便说一句,我的主机文件虽然针对其他主机进行了更改,但与 localhost 没有什么特别之处;默认 127.0.0.1/::1 仍然存在,下面没有覆盖。
跟进:为了本地开发目的,我添加了以下内容:
127.0.0.1 local.mysite.com
.. 到我的主机文件,然后将以下代码添加到我的 global.asax:
protected void Application_BeginRequest(object sender, EventArgs e)
{
if (Request.Headers["Host"].Split(':')[0] == "localhost")
{
Response.Redirect(
Request.Url.Scheme
+ "://"
+ "local.mysite.com"
+ ":" + Request.Url.Port.ToString()
+ Request.Url.PathAndQuery
, true);
}
}
最佳答案
我要给出一个答案;经过一番思考,我得出了自己的结论。
这可能是一项安全功能,旨在阻止 Internet 网站调用在客户端计算机上运行的 JSONP 服务。
一个网站可以只遍历一个端口列表,并在不同的端口和路径上不断调用 localhost。 “Localhost”是为数不多的 DNS 主机名之一,其含义取决于查询的时间和地点,这使得潜在目标容易受到攻击。是的,将点 (.) 附加到“本地主机”('localhost.') 会产生一个可行的解决方法这一事实确实暴露了安全漏洞,但确实为开发目的提供了一个 [暂定] 解决方法。
更好的方法是将环回 IP 映射到 hosts 文件中的新主机名条目,这样它就可以在本地工作,不容易被浏览器更新“修复”,并且除了在开发工作站。
关于javascript - 在本地主机上运行时不执行 JSONP 回调,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1217926/
我在使用omniauth/openid时遇到了一些麻烦。在尝试进行身份验证时,我在日志中发现了这一点:OpenID::FetchingError:Errorfetchinghttps://www.google.com/accounts/o8/.well-known/host-meta?hd=profiles.google.com%2Fmy_username:undefinedmethod`io'fornil:NilClass重要的是undefinedmethodio'fornil:NilClass来自openid/fetchers.rb,在下面的代码片段中:moduleNetclass
我遵循了教程http://gettingstartedwithchef.com/,第1章。我的运行list是"run_list":["recipe[apt]","recipe[phpap]"]我的phpapRecipe默认Recipeinclude_recipe"apache2"include_recipe"build-essential"include_recipe"openssl"include_recipe"mysql::client"include_recipe"mysql::server"include_recipe"php"include_recipe"php::modul
我有一个服务模型/表及其注册表。在表单中,我几乎拥有服务的所有字段,但我想在验证服务对象之前自动设置其中一些值。示例:--服务Controller#创建Action:defcreate@service=Service.new@service_form=ServiceFormObject.new(@service)@service_form.validate(params[:service_form_object])and@service_form.saverespond_with(@service_form,location:admin_services_path)end在验证@ser
我正在阅读SandiMetz的POODR,并且遇到了一个我不太了解的编码原则。这是代码:classBicycleattr_reader:size,:chain,:tire_sizedefinitialize(args={})@size=args[:size]||1@chain=args[:chain]||2@tire_size=args[:tire_size]||3post_initialize(args)endendclassMountainBike此代码将为其各自的属性输出1,2,3,4,5。我不明白的是查找方法。当一辆山地自行车被实例化时,因为它没有自己的initialize方法
我在用Ruby执行简单任务时遇到了一件奇怪的事情。我只想用每个方法迭代字母表,但迭代在执行中先进行:alfawit=("a".."z")puts"That'sanalphabet:\n\n#{alfawit.each{|litera|putslitera}}"这段代码的结果是:(缩写)abc⋮xyzThat'sanalphabet:a..z知道为什么它会这样工作或者我做错了什么吗?提前致谢。 最佳答案 因为您的each调用被插入到在固定字符串之前执行的字符串文字中。此外,each返回一个Enumerable,实际上您甚至打印它。试试
如何检查Ruby文件是否是通过“require”或“load”导入的,而不是简单地从命令行执行的?例如:foo.rb的内容:puts"Hello"bar.rb的内容require'foo'输出:$./foo.rbHello$./bar.rbHello基本上,我想调用bar.rb以不执行puts调用。 最佳答案 将foo.rb改为:if__FILE__==$0puts"Hello"end检查__FILE__-当前ruby文件的名称-与$0-正在运行的脚本的名称。 关于ruby-检查是否
//1.验证返回状态码是否是200pm.test("Statuscodeis200",function(){pm.response.to.have.status(200);});//2.验证返回body内是否含有某个值pm.test("Bodymatchesstring",function(){pm.expect(pm.response.text()).to.include("string_you_want_to_search");});//3.验证某个返回值是否是100pm.test("Yourtestname",function(){varjsonData=pm.response.json
我从Ubuntu服务器上的RVM转移到rbenv。当我使用RVM时,使用bundle没有问题。转移到rbenv后,我在Jenkins的执行shell中收到“找不到命令”错误。我内爆并删除了RVM,并从~/.bashrc'中删除了所有与RVM相关的行。使用后我仍然收到此错误:rvmimploderm~/.rvm-rfrm~/.rvmrcgeminstallbundlerecho'exportPATH="$HOME/.rbenv/bin:$PATH"'>>~/.bashrcecho'eval"$(rbenvinit-)"'>>~/.bashrc.~/.bashrcrbenvversions
我有一个使用SeleniumWebdriver和Nokogiri的Ruby应用程序。我想选择一个类,然后对于那个类对应的每个div,我想根据div的内容执行一个Action。例如,我正在解析以下页面:https://www.google.com/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=puppies这是一个搜索结果页面,我正在寻找描述中包含“Adoption”一词的第一个结果。因此机器人应该寻找带有className:"result"的div,对于每个检查它的.descriptiondiv是否包含单词“adoption
我写了一个非常简单的rake任务来尝试找到这个问题的根源。namespace:foodotaskbar::environmentdoputs'RUNNING'endend当在控制台中执行rakefoo:bar时,输出为:RUNNINGRUNNING当我执行任何rake任务时会发生这种情况。有没有人遇到过这样的事情?编辑上面的rake任务就是写在那个.rake文件中的所有内容。这是当前正在使用的Rakefile。requireFile.expand_path('../config/application',__FILE__)OurApp::Application.load_tasks这里