javascript 同源策略
何为同源策略?
同源策略是对javascript 代码能狗操作那些web内容的一条完整的安全限制。当web页面使用多个iframe 元素或者打开多个窗体的时候,这一策略就会发生作用。
理解同源策略:脚本来源和文档来源。
脚本来源:<script> javascript src="http(s)://..." 来源。
文档来源:包含:协议,主机,以及载入文档的URL端口号。从不同的web服务器载入的文档具有不同的来源。
理解这两点很重要。
文档来源:1、通过同一主机的不同端口载入的文档具有不同的来源。
2、通过http和https在同一服务器载入文档具有不同的来源。
3、以上三点均不能一样。
脚本来源:1、来自主机A的脚本被包含到主机B的<script>中的web中个,这个脚本的来源是B,
2、脚本打开一个新窗体,载入主机B的文档,脚本具有完全的访问权。
3、脚本打开一个新窗体,载入主机C的文档,同源策略会阻止脚本访问这个文档。
同源策略适应几乎所有的javascript对象属性。
? 1 同源策略会给多子域的大站点带来麻烦。
1、载入其他子域名下的文档。document层次改变domain,例如:home.example.com, domain 可以设置为:example.com,即可。
把要访问的另一个文档的脚本设置同一个domain.
2、跨域资源共享(Cross-Origin Resource Sharing),参见:跨域资源
3、跨文档消息(cross-document messing)。
Code: 各位看官,我理解后再写。。。