Google 自定义搜索引擎如何解决 XSS?
Posted
技术标签:
【中文标题】Google 自定义搜索引擎如何解决 XSS?【英文标题】:How does Google Custom Search Engine solves XSS? 【发布时间】:2012-10-07 20:16:26 【问题描述】:我一直在考虑构建一个使用与 Google CSE 类似的方法的服务 - https://developers.google.com/custom-search/docs/js/rendering 我无法理解 Google 如何绕过 XSS。是因为他们托管了能够写入 DIV 的 JS 文件吗?他们是否使用 CORS 标头?如果您有使用此模式的经验,请分享您的意见。
【问题讨论】:
【参考方案1】:它使用同源请求和jsonp的组合。它通过 <script> 标签请求 www.googleapis.com/customsearch/v1element 和 www.google.com/uds,然后允许这些脚本分别从 www.googleapis.com 和 www.google.com 请求。
【讨论】:
以上是关于Google 自定义搜索引擎如何解决 XSS?的主要内容,如果未能解决你的问题,请参考以下文章
如何在目标 c 中使用 Google 自定义搜索进行图像搜索