13

从:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

同源策略防止从一个文件或脚本加载  
origin 从另一个来源获取或设置文档的属性。
该政策可以追溯到 Netscape Navigator 2.0。

那么为什么不执行同源策略呢?,当一个有这样的脚本标签时: 

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>

我确定我错过了“某些东西”,我已经阅读了很多次
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
但无法弄清楚......

4

3 回答 3

18

HTML 可以从它喜欢的任何地方加载,它是在页面上运行的另一个脚本,无法从另一个来源获取文档。

于 2009-07-23T11:03:58.657 回答
2

<script>标签是此规则的一个例外。允许页面“邀请”来自另一台服务器的脚本,这被认为是可以的。

(互联网的整个经济 - 页面广告 - 都是基于允许的!虽然它确实存在安全风险,但它不会很快改变。)

于 2009-07-23T11:07:37.370 回答
0

脚本不是文档。它们在包含该<script>元素的文档的上下文中运行。

于 2009-07-23T11:03:19.280 回答