Javascript 用于jquery的跨域和google CDN
使用Google CDN for jquery是否违反了不在网页上使用跨域请求的规则。我们足够信任谷歌做这件事吗?不,它没有违反跨域请求的规则。当您从Google的CDN中包含jQuery时,您只需在页面中包含一个资源(很像链接到图像)。这不属于我假设您提到的安全概念,它主要包括XHR(ajax)请求。允许在浏览器本身中使用来自国外网站的脚本标记。因为假定您打算加载此功能。加载的脚本无法直接与外部域通信(XHR相同来源,CORS除外)。现在,这正是您不希望允许未检查的用户输入从外部站点加载脚本的原因。外来脚本可以执行您不希望执行的操作,但如果它来自可信的源,则应该可以Javascript 用于jquery的跨域和google CDN,javascript,jquery,Javascript,Jquery,使用Google CDN for jquery是否违反了不在网页上使用跨域请求的规则。我们足够信任谷歌做这件事吗?不,它没有违反跨域请求的规则。当您从Google的CDN中包含jQuery时,您只需在页面中包含一个资源(很像链接到图像)。这不属于我假设您提到的安全概念,它主要包括XHR(ajax)请求。允许在浏览器本身中使用来自国外网站的脚本标记。因为假定您打算加载此功能。加载的脚本无法直接与外部域通信(XHR相同来源,CORS除外)。现在,这正是您不希望允许未检查的用户输入从外部站点加载脚本的
如果谷歌被发现通过其CDN使用注射剂,将会引起严重的反弹,我怀疑这种情况是否会发生,如果真的发生了,纠正的速度将远远快于你所注意到的问题。我对它的看法,包括标签,应该会造成与任何其他类似的安全问题。浏览器不应该至少警告用户,来自不同网站的脚本正在页面中执行。+1,我实际上更喜欢你的解释。当然,如果你不信任谷歌,你可以随时从自己的CDN/基础设施提供它。