代码之家  ›  专栏  ›  技术社区  ›  Magnus

同源策略:理解拒绝读取

same-origin-policy security html javascript
  •  0
  • Magnus  · 技术社区  · 6 年前

    This MSDN article 说明不允许读取 same-origin policy .

    具体来说,它说:

    源站A的网页:

    • 可以包括(执行)指向b的HTML页面的帧

    • 必须 允许获取该框架的内部HTML

    如何在不访问另一个HTML文件的内容的情况下“包括(执行)”?

    在这种情况下,“包括(执行)”是什么意思?

    1 回复  |  直到 6 年前
        1
  •  2
  •   apsillers    6 年前

    这是指查看页面的用户可以看到iframe的内容,但在框架页面上运行的脚本无法访问框架页面的内容。类似地考虑 <img> 标记将显示从任何来源到用户的图像,但包含 <img> 标记可能无法读取加载图像的内容。

    这一点很重要,因为框架页面来自不同的来源,并且是使用来自该来源的用户cookie获取的。假设框架页面是 mail.google.com :当然,我不希望任何随机的网页仅仅通过加载到iframe中来读取收件箱的内容。然而,仅仅 显示 这个页面对我来说是无害的,这个用户恰好登录到我的邮件服务。

    推荐文章
    Softly  ·  单选按钮未按预期取值
    1 年前
    Jason Owens  ·  我的html/javascript播放按钮无法播放嵌入的youtube视频
    1 年前
    SlickRed  ·  我无法使用JS关注HTML元素
    1 年前
    Mayron Guedes  ·  如果登录名不在本地存储中,如何重定向页面?
    1 年前
    assembler  ·  Nextjs没有处理发布请求
    1 年前
    PavelB  ·  如何使用Seleniumwebdriver和mocha只运行一个测试文件?
    1 年前
    BADRUM  ·  执行两个获取功能后,如何导航回页面?
    1 年前
    Toniq  ·  javascript为php保存多维数组
    1 年前
    Natalie Smyth  ·  隐藏类只在我试图切换的两个部分中的一个部分上工作
    1 年前
    SkyWalker  ·  在JavaScript中,合并日期-时间序列的有效算法是什么?
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号