是谷歌AJAX库API绕过同源策略?

StackOverflow https://stackoverflow.com/questions/1171004

自:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript 

The same origin policy prevents a document or script loaded from one  
origin from getting or setting properties of a document from another origin.
This policy dates all the way back to Netscape Navigator 2.0.

那么,为什么没有同源策略强制执行?当有这样的脚本标签:     

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>

我敢肯定,我失去了“东西”,我读过结果 http://code.google.com/p/browsersec/wiki/ #第2部分相同,origin_policy 结果 一堆次,但不能找出...

有帮助吗?

解决方案

HTML可以从任何地方它喜欢加载,它的另一个脚本无法从其他产地获取文档页面上运行。

其他提示

<script>标签是一个例外。一个页面被允许从另一台服务器“邀请”的脚本,而这被认为确定。

(互联网的整个经济 - 对网页的广告 - !。正是基于这样的被允许虽然它确实代表了安全风险,它不会很快改变)

脚本是不文档。它们在包括<script>元素的文档的上下文中运行。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top