在您网站的每个网页上设置document.domain是个不错的主意。例如,如果您的网站是“www.example.com”。但您也可以使用'en.example.com'和'fr.example.com'以及'www.example.com:8444'。当您必须处理xss问题时,所有这些域都很难处理。那么在所有页面上明确设置document.domain ='example.com'是一个可怕的想法吗?
答案 0 :(得分:1)
这取决于。这意味着任何其他子域都可以这样做,所以如果有一个信任级别较低的子域(如ads.example.com或survey.example.com),它可能会回来并咬你。