목요일, 2월 12, 2009

IE8 - XDomainRequest

 

XHR(XMLHttpRequest)은 AJAX 개발 방식으로 인해 많이 알려져 있다.

 

XSS(Cross Site Scripting)을 막기 위해 HttpOnly 쿠키가 만들어졌으나 XST(Cross Site Tracing)을

 

이용해 이것을 빠져나갈 수 있는 방법이 공개되었다.

 

IE8에서는 XHR의 대안으로 XDR(XDomainRequest)가 제공된다.

 

이것은 Flash와 SIlverlight 처럼 HTTP의 GET과 POST 방식만 지원해서 쿠키를 전송하지 않는다.

 

그래서 XSRF(Cross-Site Request Forgery) 취약점을 위한 대부분의 공격을 차단 할 수 있다.

 

 

 

라벨: , , ,


// 작성자: 슈러 @ 4:54 오후
댓글: 댓글 쓰기

에 가입 댓글 [Atom]





<< 홈

This page is powered by Blogger. Isn't yours?

에 가입 글 [Atom]