跨域政策是否限制了同一域的不同协议下载?
https://stackoverflow.com/questions/961334
-
12-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
跨域政策限制了从另一个领域下载内容:
http://mysiteA.com <--NO--> http://myothersite.com
但是,是否可以通过允许的其他协议从同一域下载,它可以在日常网络浏览器中使用(某人测试)吗?
http://mysite.com <--?--> https://mysite.com
解决方案
所以你很困惑。这不是XSS,而是跨域访问-XSS是一个安全漏洞,您在不编码它的情况下将用户输入回声回HTML页面。
您要问的是跨域访问,大概是来自Ajax,但也许来自Silverlight或Flash。
如果这是这样的答案,则因为协议是不同的,因此一个站点具有HTTP,一个站点具有HTTPS。您只能访问协议,域名和网络端口all匹配的位置。
其他提示
是的(标题中的问题), 维基百科 解释“相同原产政策”:
术语“原始”是使用域名,应用程序层协议以及(在大多数浏览器中)运行脚本的HTML文档的TCP端口定义的。当所有这些值完全相同时,只有当所有这些值完全相同时,两个资源被认为具有相同的来源。
所以 http://foo.bar 和 https://foo.bar 是 不是 例如,“相同的原点”。
不隶属于 StackOverflow
