json hijack如何丢掉referer
</script>
func(str){
alert(str)
}
</script>
<script src=http://www.xxx.com/xxx.cgi?callback=func ></script>
这种的攻击,如果http://www.xxx.com/xxx.cgi?callback=func 之针对referer 为 xxx.com域或者referer为空的才能出数据。如何绕过?
目前已知的是用一些跨协议的方法,比如https等,有更好的方法么?