Il semble que loadpage.php
puisse être utilisé pour renvoyer le contenu de www.google.com
en utilisant file_get_contents.
loadpage.php:
<?php
// Simplified output - should sanitise $_REQUEST params etc first..
echo file_get_contents($_REQUEST['a']);
?>
loadpage
est effectivement agit comme un proxy, permettant à votre javascript pour appeler des pages qui ne sont pas sur votre propre domaine. Comme l'indique @annakata dans les commentaires, le code ci-dessus est obscur comme dangereux. Le code est une illustration de l'idée de base d'un fichier proxy - en production, ce fichier devrait s'assurer que les paramètres $_REQUEST
ont été nettoyés, par ex. n'accepte que les valeurs d'une liste blanche.
Le same origin policy est un élément de sécurité de javascript qui vous empêche d'extraire le contenu de votre domaine sur votre page en utilisant javascript.
Certains sites contourner cela en appelant une page proxy sur leur propre serveur (loadpage
dans cette instance) qui imprime effectivement le contenu d'une URL cible. Comme cette page proxy est sur votre serveur, ce court-circuite la même origine problème de sécurité, et rend toujours disponible le contenu d'une page d'un autre domaine - ici www.google.com
Oups, je peu bêtement fait pas RTFA, mais juste le code dans la question et l'hypothèse de ce qu'il pourrait faire.
@andynormancx est juste dans sa réponse à ce que fait réellement la page liée dans le q.
En l'état actuel qui est ridiculement dangereux - je l'espère, il y a une liste blanche ou d'un bon sens de vérification dans le php – annakata
code très dangereux bien, jeté comme un exemple de ce qui pourrait être aller dans le fichier de chargement, mais répondre maintenant mis à jour pour mettre en évidence les dangers si copié et collé, bravo! – ConroyP