Comments on: JSONRequest para evitar o Eval

By: Ajax Crossbrowser no IE8 e FF3 - CMilfont Tech

Ajax Crossbrowser no IE8 e FF3 - CMilfont Tech — Mon, 10 Mar 2008 00:50:30 +0000

[...] confusão muito comum até em desenvolvedores profissionais é não saber que o objeto XHR segue o mesmo princípio de segurança do javascript e por isso não pode executar [...]

By: Resumo javascript - Jan 2008 - CMilfont Tech

Resumo javascript - Jan 2008 - CMilfont Tech — Mon, 04 Feb 2008 10:53:39 +0000

[...] http://www.milfont.org/tech/2008/01/04/jsonrequest-para-evitar-o-eval/ [...]

By: cmilfont

cmilfont — Fri, 04 Jan 2008 12:40:56 +0000

esqueci de mencionar, para contornar esse problema uma das formas mais usadas é criar um mecanismo de proxy no mesmo servidor para buscar de outro host e enviar

By: cmilfont

cmilfont — Fri, 04 Jan 2008 12:38:21 +0000

a especificação determina que o objeto XHR só pode efetuar uma requisição a um serviço que esteja na mesma uri de origem dela, conhecido como “same-domain policy”, exemplo:

http://www.milfont.org/scriptComXHR.js
http://www.milfont.org/recurso.php

o objeto XHR contido no scriptComXHR.js só poderá requisitar do caminho http://www.milfont.org e paths abaixo dele como http://www.milfont.org/outrorecurso/
se tentar de rponte.com.br por exemplo lançará uma SECURITY_ERR. Sacou?

*
“Two URIs are same-origin if after performing scheme-based normalization on both URIs as described in section 5.3.3 of RFC 3987 the scheme, ihost and port components are identical. If either URI does not not have an ihost component the URIs must not be considered same-origin. [RFC3987]”
http://www.w3.org/TR/XMLHttpRequest/#terminology

By: Rafael Ponte

Rafael Ponte — Fri, 04 Jan 2008 12:17:53 +0000

Muito bom Mas eu só não entendi direito este trecho,
“A especificação do XHR define, por medida de segurança, que uma chamada remota só pode ser efetuada ao mesmo caminho de onde o script foi baixado [...]”

Poderia explicar?