我正在尝试证明更改document.domain只能用于同一上层域的交叉脚本。例如,如果我将尝试将document.domain更改为位于www.test.com页面上的“google.com”,我将在FF中获得安全例外。有谁知道在哪里找到官方证明?
答案 0 :(得分:16)
退房:developer.mozilla.org/same-origin-policy
以下是该网站的摘录:
同样有一个例外 原产地规则。脚本可以设置 document.domain的值为后缀 当前域名。如果它这样做, 较短的域用于 后续原产地检查。例如, 假设文档中有一个脚本 http://store.company.com/dir/other.html 执行以下语句:
document.domain =“company.com”;
在 该语句执行,页面 会通过原点检查 http://company.com/dir/page.html。 但是,通过同样的推理, company.com无法设置 document.domain到othercompany.com。