O Google Ajax Libraries API está ignorando a mesma política de origem?
-
19-09-2019 - |
Pergunta
A partir de: https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0.
Então, por que não é a mesma política de origem aplicada?, Quando uma tag de script como esta:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
Tenho certeza de que estou perdendo 'algo', eu li
http://code.google.com/p/browshersec/wiki/Part2#same-origin_policy
um monte de vezes, mas não consigo descobrir ...
Solução
HTML pode carregar de onde quiser, é outro roteiro executando na página que não pode buscar documentos de outra origem.
Outras dicas
<script>
Tags são uma exceção a esta regra. Uma página pode "convidar" um script de outro servidor, e isso é considerado OK.
(Toda a economia da Internet - publicidade na página - se baseia nisso! Embora represente um risco de segurança, não mudará tão cedo.)
Scripts não são documentos. Eles correm no contexto do documento que inclui o <script>
elemento.