来自:https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0.
那么为什么不执行相同的原始策略?,当有这样的脚本标记时:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
我确定我错过了'某事',我读过了
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
一堆次但却想不出来......
答案 0 :(得分:18)
HTML可以从任何地方加载,它是在页面上运行的另一个脚本,无法从其他来源获取文档。
答案 1 :(得分:2)
<script>标记是此规则的一个例外。允许页面从另一台服务器“邀请”一个脚本,这被认为是正常的。
(互联网的整体经济 - 页面广告 - 基于这种允许!虽然它确实代表了安全风险,但它不会很快改变。)
答案 2 :(得分:0)
脚本不是文档。它们在包含<script>元素的文档的上下文中运行。