상호 도메인 정책은 동일한 도메인에 대한 다른 프로토콜에서 다운로드를 제한합니까?

Question

크로스 도메인 정책은 다른 도메인에서 컨텐츠 다운로드를 제한합니다.

  http://mysiteA.com   <--NO-->   http://myothersite.com

그러나 다른 프로토콜을 통해 동일한 도메인에서 다운로드하고 일상적인 웹 브라우저에서 작동 할 수 있습니까 (누군가가 테스트 할 수 있습니까?

  http://mysite.com    <--?-->    https://mysite.com

Answer 1

그래서 당신은 혼란 스러워요. 이것은 XSS가 아니지만 크로스 도메인 액세스 - XSS는 사용자 입력을 인코딩하지 않고 HTML 페이지에 다시 입력하는 보안 취약점입니다.

당신이 묻는 것은 아마도 Ajax에서 나오는 크로스 도메인 액세스입니다.

이것이 대답이 아니오라면, 프로토콜이 다르기 때문에 하나의 사이트는 http를 가지고 있고, 한 사이트에는 HTTP가 있습니다. 프로토콜, 도메인 이름 및 네트워크 포트가 모두 일치하는 경우에만 리소스에 액세스 할 수 있습니다.

Answer 2

예 (제목의 질문에) 위키 백과 "동일한 오리핀 정책"에 대한 설명 :

"원산지"라는 용어는 스크립트를 실행하는 HTML 문서의 도메인 이름, 응용 프로그램 계층 프로토콜 및 대부분의 브라우저에서 TCP 포트를 사용하여 정의됩니다. 이 모든 값이 정확히 동일한 경우에만 두 개의 리소스가 동일한 원점 인 것으로 간주됩니다.

그래서 http://foo.bar 그리고 https://foo.bar ~이다 ~ 아니다 예를 들어 "동일한 원점".