我已经阅读了 StackOverflow 上有关同源策略的几个答案,但我似乎没有抓住本质部分。
在所有使用的标签中src
属性,比如<script>
and <img>
,您可以使用外部资源(来自另一个域)。
为什么这是允许的,但对于 XMLHttpRequest(例如 AJAX 调用)却不允许。我似乎不明白为什么后者更危险。
我的意思是,您还可能在外部源中包含恶意代码,例如:<script src="http://example.com/malicious_script.js"></script>
同源策略的目的是保护远程服务器的数据免受未知客户端的攻击,而不是保护客户端免受来自服务器的恶意代码的攻击。<script>
标签不允许客户端发出除 GET 之外的请求或获取服务器未在有效 JavaScript 文件中显式公开的数据。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)