Ajax XML 存在 XSS 验证问题

Question

在 Web 应用程序中使用 Ajax 时，我们使用 XML 在服务器和客户端之间传输数据。然而 XSS 验证出现了， 所以问题是， 1. 这样传递XML是否正确？ 2. 如果关闭 XSS 验证，我们是否会面临安全问题？ 3. 通过 header (content-type = application/xml) 传递 Ajax 请求可以解决这个问题吗？

JSON 也是传输数据的好方法，但它是调用 XSS 的方法。 那么什么是正确的和不正确的呢？建议一些好的做法。 请提供您的意见。 谢谢，

Answer 1

我更喜欢使用 JSON 来实现此目的；比 XML 轻量得多，并且由于它是一个 javascript 对象，因此使用事件处理程序中返回的数据变得很简单。请注意不要对 JSON 对象进行 eval()，因为这会危及安全性 - 请参阅 JavaScript 的时间eval() 不是邪恶的吗？

至于 XSS 保护，它的存在是有充分理由的。我从您的帖子中得知，客户端代码托管在与数据源不同的域上？只有在这种情况下，XSS 保护才会生效。您可能想研究一下针对此场景开发的 JSONp，尽管它也有自己的一组安全问题： http://en.wikipedia.org/wiki/JSON#JSONP

希望这有帮助，

JS