Security 为什么'；不严格的原产地工作？（至少在FireFox中）

我访问了

mozilla.com

，并检查了我的

about:config

设置为打开

Strict Origin

（启用：true），但当我显示浏览器控制台时，它显示我的浏览器将进入

gravatar.com

，

google analytics.com

，

casalemedia.com

，以及其他许多浏览器。它当然不仅仅是访问

mozilla.com

域下的其他页面。这种保护是如何被破坏的？

我在Firefox的

about:config

中找到的唯一“严格源代码”项是，正如名称所示，它只适用于文件URI。您所指的配置项是什么？security.fileuri.strict\u origin\u策略；我所指的文件示例是-GET[HTTP/1.1 304 Not Modified 1949ms]GET[HTTP/1.1 302 Found 1953ms]GET[HTTP/1.1 302 Found 787ms]GET配置项，顾名思义，它只适用于文件URI。Mozilla.com不是一个文件URI。您认为GETs会得到什么？--文件夹。请参阅wikipedia了解此文本-访问恶意站点的用户可能会认为他或她正在访问的站点没有访问银行会话cookie的权限。虽然JavaScript确实不能直接访问银行会话cookie，但它仍然可以使用银行站点的会话cookie向银行站点发送和接收请求。由于该脚本基本上可以执行与用户相同的操作，因此即使银行网站提供的CSRF保护也不会有效。文件URI意味着类似

file:///Users/ceejayoz/Desktop/Screen%20Shot%202017-03-09%20at%205.20.12%20PM.png

。根据中的文档，“当本地HTML文件（例如，硬盘上的文件）加载到浏览器中时，其中的脚本和链接对其可以查看和执行的操作有限制。这些限制由本地文件的同源策略确定，此首选项控制该策略。”