0

在您网站的每个页面上设置 document.domain 是一个好主意。例如,如果您的网站是“www.example.com”。但您也可以使用“en.example.com”、“fr.example.com”和“www.example.com:8444”。当您必须处理 xss 问题时,所有这些域都使您难以使用。那么在所有页面上明确设置 document.domain = 'example.com' 是不是一个糟糕的主意?

4

1 回答 1

1

这取决于。这意味着任何其他子域都可以这样做,因此如果出现信任级别较低的子域(例如 ads.example.com 或survey.example.com),它可能会回来咬你。

于 2012-06-09T21:09:35.747 回答