我有一个非常简单的问题。为什么以及如何对脚本,链接img这样的原始政策免除?
我相信使用GET加载脚本和链接的方式与调用服务器API的方式类似。那么区别是什么呢。为什么在这些标签中免除此政策不会对我们造成伤害。
我在SO上发现了这个(Why is the HTML SCRIPT tag not subject to the same origin policy)唯一的问题,它没有令人满意的答案,甚至没有接受答案。
答案 0 :(得分:1)
发送GET请求(即使使用Cookie)也无害; GET请求不应该有任何副作用。
这些标签都不允许呼叫页面(直接)读取响应,因此它们不会泄露信息。
因此,允许它(几乎)没有错。