Fatal编程技术网
  • javascript/
  • Javascript google AJAX库API是否绕过了同源策略?

Javascript google AJAX库API是否绕过了同源策略?

javascript ajax

Javascript google AJAX库API是否绕过了同源策略?,javascript,ajax,same-origin-policy,Javascript,Ajax,Same Origin Policy,发件人:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way b

发件人:
https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0. 同源策略阻止从一个源加载文档或脚本 从另一个来源获取或设置文档的属性。 此策略可追溯到Netscape Navigator 2.0。 那么,为什么不强制执行同源策略呢?如果一个脚本具有如下脚本标记: <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>

我肯定我错过了什么,我读过

很多次,但无法理解……

脚本不是文档。它们在包含
元素的文档上下文中运行。

HTML可以从任意位置加载,这是页面上运行的另一个脚本,无法从其他来源获取文档。

标记是此规则的一个例外。允许页面从另一台服务器“邀请”脚本,这被认为是正常的

(互联网的整个经济——页面广告——都是基于这一点的!虽然它确实存在安全风险,但不会很快改变。)

你能给我指一个参考资料吗?上面有更清楚的解释:……阻止文档或脚本……这是类似的答案。简单但简洁。塞萨尔所说:-)同样值得指出的是,同源策略适用于页面的域,而不是脚本:example.com页面从example.net加载的脚本只能访问example.com,而不能访问example.net。