(no subject)
Че-то мне стало стремно, что я не понимаю, как работает браузер, которым я пользуюсь каждый день.
Напишу сюда - увы, совершенно не разбираюсь в этих оболочках дешевых, и в гугле за 10 минут не смог найти ответ :(
Ткните носом во внятное описание того, какие HTTP запросы имеет право делать javascript, пришедший с foo.net, тот же вопрос про Flash. И зависит ли от origin, какие с запросом уходят кукисы.
Сегодня наблюдал swf на http://mp3shki.ru, бодро делающий GET на flv и mp3 с произвольных сайтов. Был удивлен. Мне кажется, это удивительно несекьюрно.
Заранее спасибо.
upd: прочитал про crossdomain.xml и про то, что вроде как к flv и mp3 он не применяется. Значит, flash имеет право делать какие хочет GET запросы, буде он результатов запроса не увидит? Удивительно.
upd2: Вроде все понял, это общая политика в HTTP такая. Some methods (e.g. HEAD, GET, OPTIONS, and TRACE) are defined as safe, which means they are intended only for information retrieval and should not change the state of the server (in other words, they should not have side effects). Unsafe methods (such as POST, PUT and DELETE) should be displayed to the user in a special way, typically as buttons rather than links, thus making the user aware of possible obligations (such as a button that causes a financial transaction).
Напишу сюда - увы, совершенно не разбираюсь в этих оболочках дешевых, и в гугле за 10 минут не смог найти ответ :(
Ткните носом во внятное описание того, какие HTTP запросы имеет право делать javascript, пришедший с foo.net, тот же вопрос про Flash. И зависит ли от origin, какие с запросом уходят кукисы.
Сегодня наблюдал swf на http://mp3shki.ru, бодро делающий GET на flv и mp3 с произвольных сайтов. Был удивлен. Мне кажется, это удивительно несекьюрно.
Заранее спасибо.
upd: прочитал про crossdomain.xml и про то, что вроде как к flv и mp3 он не применяется. Значит, flash имеет право делать какие хочет GET запросы, буде он результатов запроса не увидит? Удивительно.
upd2: Вроде все понял, это общая политика в HTTP такая. Some methods (e.g. HEAD, GET, OPTIONS, and TRACE) are defined as safe, which means they are intended only for information retrieval and should not change the state of the server (in other words, they should not have side effects). Unsafe methods (such as POST, PUT and DELETE) should be displayed to the user in a special way, typically as buttons rather than links, thus making the user aware of possible obligations (such as a button that causes a financial transaction).