Как правило, когда мы хотим показать содержимое какой-либо веб-страницы на той же странице, мы ищем запросы ajax. Если, скажем, я запрашиваю веб-страницу в другом домене с помощью AJAX, это недопустимо из-за ошибки сценария Cross Side. Но почему это разрешено для доступа через серверную страницу. Например, мы можем использовать CURL в php для доступа к любому сайту.? Почему эта функция подходит для сценариев на стороне сервера и НЕ ОК для сценариев на стороне клиента?
Поскольку вредоносный скрипт может открыть внешнюю страницу без предварительного запроса пользователя. Например, представьте себе небезопасную текстовую область. Если содержимое этого текстового поля отображается другим пользователям, оно может содержать скрипт, который подключается к удаленному хосту и отправляет ему конфиденциальную информацию о пользователе. Все это сводится к: серверной стороне -> вы находитесь под контролем, на стороне клиента -> общедоступны, поэтому склонны к злоупотреблениям.
Видеть:
Та же политика происхождения
При вычислении одна и та же политика происхождения является важной концепцией безопасности для ряда языков программирования на стороне браузера, таких как JavaScript. Эта политика разрешает выполнение скриптов на страницах, происходящих из одного и того же сайта, для доступа к методам и свойствам друг друга без каких-либо конкретных ограничений, но предотвращает доступ к большинству методов и свойств между страницами на разных сайтах.