是谷歌AJAX库API绕过同源策略?
-
19-09-2019 - |
题
自:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0.
那么,为什么没有同源策略强制执行?当有这样的脚本标签:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
我敢肯定,我失去了“东西”,我读过结果 http://code.google.com/p/browsersec/wiki/ #第2部分相同,origin_policy 结果 一堆次,但不能找出...
解决方案
HTML可以从任何地方它喜欢加载,它的另一个脚本无法从其他产地获取文档页面上运行。
其他提示
<script>
标签是一个例外。一个页面被允许从另一台服务器“邀请”的脚本,而这被认为确定。
(互联网的整个经济 - 对网页的广告 - !。正是基于这样的被允许虽然它确实代表了安全风险,它不会很快改变)
脚本是不文档。它们在包括<script>
元素的文档的上下文中运行。
不隶属于 StackOverflow