nai*_*sts 10 browser security same-origin-policy
我在SO" jQuery Linking vs. Download "中阅读了这个问题,但我不明白.
如果你主持一个页面http://yourserver.com,但从中加载jQuery库http://ajax.googleapis.com然后使用jQuery脚本中定义的函数会发生什么?
在这种情况下,"同源政策"不计算在内吗?我的意思是,你能回复AJAX http://yourserver.com吗?
被执行的JavaScript是否被视为来自yourserver.com?
我的观点是,你不知道用户从某个第三方服务器下载了什么(对不起,谷歌),而且他的计算机上执行的代码仍然是他从你的服务器上下载的代码?
编辑:这是否意味着_如果我使用来自第三方的网络统计计数器我不太了解,他们可能会"注入"一些代码并调用我的网络服务,好像他们的代码是我的一部分?
网站http://yourserver.com/的所有者应该信任其从其他服务器(在本例中为Google)引用的内容.相同的原始策略不适用于"脚本"标记.
当然,外部服务器的脚本(一旦加载)就可以访问整个DOM:因此,如果外部内容被泄露,则可能存在安全风险.
与网络世界中的许多事物一样,它归结为信任和持续管理.
编辑:
这是否意味着_如果我使用来自第三方的网络统计计数器我不太了解,他们可能会"注入"一些代码并调用我的网络服务,好像他们的代码是我的一部分?
是.
| 归档时间: |
|
| 查看次数: |
1336 次 |
| 最近记录: |