谷歌 AJAX 库 API 是否绕过同源策略?

【问题标题】:Is google AJAX Libraries API bypassing same origin policy?谷歌 AJAX 库 API 是否绕过同源策略?
【发布时间】:2010-11-13 08:22:08
【问题描述】:

发件人:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

同源策略防止从一个文件或脚本加载
origin 从另一个来源获取或设置文档的属性。
该政策可以追溯到 Netscape Navigator 2.0。

那么为什么不执行同源策略呢?,当一个有这样的脚本标签时:

我确定我错过了“某些东西”,我已阅读
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
看了很多遍还是想不通……

【问题讨论】:

    标签: javascript ajax same-origin-policy


    【解决方案1】:

    HTML 可以从它喜欢的任何地方加载,它是在页面上运行的另一个 脚本,无法从其他来源获取文档。

    【讨论】:

    • 就是这样的回答。简单而简洁。
    • Cesar 所说的 :-) 还值得指出的是,同源策略适用于页面的域,而不是脚本:示例页面从 example.net 加载的脚本。 com 将只能访问 example.com,而不是 example.net。
    【解决方案2】:

    <script> 标签是此规则的一个例外。允许页面“邀请”来自另一台服务器的脚本,这被认为是可以的。

    (互联网的整个经济 - 页面广告 - 都是基于允许的!虽然它确实存在安全风险,但不会很快改变。)

    【讨论】:

      【解决方案3】:

      脚本不是文档。它们在包含<script> 元素的文档上下文中运行。

      【讨论】:

      • 您能否指出一个参考资料,从上面更清楚地解释了这一点:...防止文档或脚本...
      猜你喜欢
      • 2011-05-28
      • 2014-03-17
      • 2012-12-30
      • 2013-09-06
      • 2013-05-18
      • 2011-02-14
      • 2013-10-11
      • 1970-01-01
      • 2011-06-22
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode