As políticas de domínio cruzado restringem o download de diferentes protocolos para o mesmo domínio?
https://stackoverflow.com/questions/961334
-
12-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
As políticas de domínio cruzado restringem o download do conteúdo de outro domínio:
http://mysiteA.com <--NO--> http://myothersite.com
Mas o download do mesmo domínio por meio de um protocolo diferente é permitido e funcionaria (alguém pode testar) nos navegadores da web diários?
http://mysite.com <--?--> https://mysite.com
Solução
Então você está confuso. Isso não é XSS, mas o acesso ao domínio cruzado - XSS é uma vulnerabilidade de segurança onde você está ecoando a entrada do usuário em uma página HTML sem codificá -la.
O que você está perguntando é o acesso ao domínio cruzado, presumivelmente do Ajax, mas talvez do Silverlight ou Flash.
Se isso é assim, a resposta é não, porque o protocolo é diferente, um site possui http, um site possui https. Você só pode acessar recursos onde o protocolo, o nome de domínio e a porta de rede correspondem.
Outras dicas
Sim (para a pergunta no título), por Wikipedia Explicação da "política da mesma origem":
O termo "origem" é definido usando o nome do domínio, o protocolo da camada de aplicativos e (na maioria dos navegadores) a porta TCP do documento HTML executando o script. Dois recursos são considerados da mesma origem se e somente se todos esses valores forem exatamente iguais.
assim http://foo.bar e https://foo.bar são não "mesma origem", por exemplo.
