Являются ли вызовы AJAX для рассматриваемого поддомена Cross-Site Scripting?

У меня есть сервер A (www.example.com), отправляющий информацию на сервер B. У меня может быть только HTML/JS на сервере A (и нужно делать "хруст" на сервере B), поэтому я пытаюсь отправить формы данных через AJAX (попытка избежать сообщения формы на сервере B - не спрашивайте).

Очевидно, что для кросс-домена вызова AJAX считается XSS и большой нет-нет, но если бы я должен был поставить сервер B в субдомен (sub.example.com), это было бы хорошо? Как обнаруживаются междоменные ошибки? Поиск в браузере DNS-записей? IP-адрес?

Заранее благодарим за помощь.

Ответ 1

Поддомены считаются разными и не смогут Same Origin Policy, если оба поддомена не объявят одно и то же свойство document.domain DOM (и даже тогда разные браузеры ведут себя по-разному).

Ответ 2

Короткий ответ: Нет. См. Одинаковая политика происхождения

Вы можете сделать запрос XHR только на тот же хост, порт и протокол.

Если вы хотите сделать Ajax, не придерживаясь этого, вы можете посмотреть JSON-P.

(XSS - совершенно другой чайник рыбы, в котором сайт позволяет вводить в него данные (например, через URI), который обрабатывается как JS, позволяя третьим лицам направить людей на ваш сайт, в то время как они вошли в систему его, и украсть или отредактировать данные.)