跨域策略限制从另一个域下载内容:
http://mysiteA.com <--NO--> http://myothersite.com
但是是否允许通过不同的协议从同一个域下载,它会在日常网络浏览器中工作(有人可以测试)吗?
http://mysite.com <--?--> https://mysite.com
问问题
549 次
2 回答
2
是的(对于标题中的问题),根据维基百科对“同源政策”的解释:
术语“来源”是使用域名、应用层协议和(在大多数浏览器中)运行脚本的 HTML 文档的 TCP 端口来定义的。当且仅当所有这些值完全相同时,才认为两个资源具有相同的来源。
例如 http://foo.bar和https://foo.bar不是“同源”。
于 2009-06-07T06:39:26.047 回答
1
所以你很困惑。这不是 XSS,而是跨域访问 - XSS 是一个安全漏洞,您可以将用户输入回显到 HTML 页面而不对其进行编码。
您要问的是跨域访问,可能来自 Ajax,但可能来自 Silverlight 或 Flash。
如果是这样,答案是否定的,因为协议不同,一个站点使用 HTTP,一个站点使用 HTTPS。只能访问协议、域名、网口全部匹配的资源。
于 2009-06-07T06:41:26.603 回答