跨域策略是否限制从同一域的不同协议下载?

时间:2009-06-07 06:34:11

标签: browser cross-domain same-origin-policy

跨域策略限制从其他域下载内容:

  http://mysiteA.com   <--NO-->   http://myothersite.com

但是,是否允许通过不同的协议从同一个域下载,并且它会在日常Web浏览器中运行(可以有人测试)吗?

  http://mysite.com    <--?-->    https://mysite.com

2 个答案:

答案 0 :(得分:2)

是(对于标题中的问题),按wikipedia's对“同源政策”的解释:

  

术语“起源”是使用域名,应用层协议和(in   大多数浏览器)运行脚本的HTML文档的TCP端口。两个资源是   当且仅当所有这些值完全相同时才被认为是相同的来源。

所以http://foo.barhttps://foo.bar “相同的来源”,例如。

答案 1 :(得分:1)

所以你很困惑。这不是XSS,而是跨域访问 - XSS是一个安全漏洞,您可以将用户输入回送到HTML页面而不对其进行编码。

您所询问的是跨域访问,可能来自Ajax,但可能来自Silverlight或Flash。

如果是这样,答案是否定的,因为协议不同,一个站点有HTTP,一个站点有HTTPS。您只能访问协议,域名和网络端口ALL匹配的资源。

相关问题
最新问题