Javascript google AJAX库API是否绕过了同源策略?
发件人:Javascript google AJAX库API是否绕过了同源策略?,javascript,ajax,same-origin-policy,Javascript,Ajax,Same Origin Policy,发件人:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way b
https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one
origin from getting or setting properties of a document from another origin.
This policy dates all the way back to Netscape Navigator 2.0.
同源策略阻止从一个源加载文档或脚本
从另一个来源获取或设置文档的属性。
此策略可追溯到Netscape Navigator 2.0。
那么,为什么不强制执行同源策略呢?如果一个脚本具有如下脚本标记:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
我肯定我错过了什么,我读过很多次,但无法理解……脚本不是文档。它们在包含
元素的文档上下文中运行。HTML可以从任意位置加载,这是页面上运行的另一个脚本,无法从其他来源获取文档。
标记是此规则的一个例外。允许页面从另一台服务器“邀请”脚本,这被认为是正常的
(互联网的整个经济——页面广告——都是基于这一点的!虽然它确实存在安全风险,但不会很快改变。)你能给我指一个参考资料吗?上面有更清楚的解释:……阻止文档或脚本……这是类似的答案。简单但简洁。塞萨尔所说:-)同样值得指出的是,同源策略适用于页面的域,而不是脚本:example.com页面从example.net加载的脚本只能访问example.com,而不能访问example.net。