jeena/en.javascript.info
1
0
Fork 0
Code Issues Pull requests Projects Packages Wiki Activity Actions

http -> https fixes

Browse source
This commit is contained in:
Ilya Kantor 2015-04-19 15:46:22 +03:00
parent e2a78fa99b
commit a2c921cd3d
7 changed files with 9 additions and 9 deletions
Download patch file Download diff file Expand all files Collapse all files

2
4-ajax/9-websockets/article.md
View file

@ -368,7 +368,7 @@ Sec-WebSocket-Protocol: soap
Они пропускают начальный запрос через себя (который содержит `Connection: upgrade`) и думают, что далее идёт уже следующий HTTP-запрос.
..Но на самом деле там данные, идущие через вебсокет! И обе стороны вебсокета (страница и сервер) контролируются Хакером. Так что хакер может передать в них нечто похожее на GET-запрос к известному ресурсу, например `http://code.jquery.com/jquery.js`, а сервер ответит "якобы кодом jQuery" с кэширующими заголовками.
...Но на самом деле там данные, идущие через вебсокет! И обе стороны вебсокета (страница и сервер) контролируются Хакером. Так что хакер может передать в них нечто похожее на GET-запрос к известному ресурсу, например `http://code.jquery.com/jquery.js`, а сервер ответит "якобы кодом jQuery" с кэширующими заголовками.
Прокси послушно проглотит этот ответ и закэширует "якобы jQuery".</li>
<li>В результате при загрузке последующих страниц любой пользователь, использующий тот же прокси, что и Жертва, получит вместо `http://code.jquery.com/jquery.js` хакерский код.</li>