我认为XMLHttpRequest的原始域是加载正在使用它的javascript的域。
例如,它认为如果在页面http://mydomain1.com/上我有:
<script src="http://mydomain2.com/script.js" />
script.js可以通过XHR与mydomain2.com进行交互。我认为这是关于jsonp的一件好事。
我在一些测试中看到一些证据,即使JS从mydomain2.com加载,XHR的起源仍然是mydomain1.com。我是不是一直偏离基地?
答案 0 :(得分:1)
执行 JavaScript的页面域(可能在框架中)。
如果它来自加载JavaScript的域,那么从CDN加载jQuery.ajax之后使用jQuery的所有用户会发生什么?(例如http://code.jquery.com/jquery-1.6.2.js)? ; - )
JSONP不允许充当另一个域,而是允许从注入另一个域。脚本元素的源 URI 不受限制与XHR相同的域原点限制:以这种方式,JSONP可用于自由发送数据(在URI中)和直接在当前页面的上下文中执行返回的JavaScript(而不是JSON)。
包含来自远程站点的脚本标记允许远程站点将任何内容注入网站。如果远程站点存在允许JavaScript注入的漏洞,则原始站点可以也会受到影响。
快乐的编码。