Похоже, что loadpage.php
может использоваться для эха из содержимого www.google.com
, используя file_get_contents.
loadpage.php:
<?php
// Simplified output - should sanitise $_REQUEST params etc first..
echo file_get_contents($_REQUEST['a']);
?>
loadpage
эффективно действует как прокси-сервер, позволяя вашей JavaScript называть страницы, которые не находятся на собственном домене.
Как отмечает @annakata в комментариях, код выше неприлично опасен как есть. Код является иллюстрацией базовой идеи прокси-файла - в процессе производства этот файл должен был бы убедиться, что параметры $_REQUEST
были дезинфицированы, например. только принимать значения из белого списка.
same origin policy является элементом безопасности javascript, который мешает вам вытаскивать контент из-за пределов вашего домена на вашу страницу с помощью javascript.
Некоторые сайты обходятся этим путем вызова прокси-страницы на своем собственном сервере (loadpage
в этом случае), которая фактически просто печатает содержимое целевого URL-адреса. Как это прокси-страница на сервере, это минует тот же вопрос безопасности происхождения, и по-прежнему делает доступным содержимое страницы из другого домена - здесь www.google.com
К сожалению, я несколько глупо не RTFA, но только код в вопросе и предположил, что он может делать.
@andynormancx прав в своем ответе относительно того, что на самом деле делает страница, связанная с q.
Поскольку это стоит, что это смехотворно опасно - я надеюсь, что есть белый список или некоторые вменяемость проверки в PHP – annakata
Очень небезопасный код в порядке, бросил его в качестве примера того, что может быть происходит в файле loadpage, но ответ теперь обновляется, чтобы выделить опасности при копировании и вставке, приветствия! – ConroyP