jQueryを使用して外部JavaScriptファイルを表示しています。AJAXリクエストではないため、「同一オリジンポリシー」が破られていないのはなぜですか?
フィドルコード:
HTML
<body>
<div id="toupdate">
<script type="text/javascript" charset="utf-8" src="http://static.polldaddy.com/p/6343621.js"></script>
</div>
</body>
jQuery
$(document).ready(function() {
console.log('HTML is '+$('#toupdate').html());
});
ああ、ここではまったく問題ありません。どこからでも JavaScript ファイルを参照できます。たとえば、Google CDN は、使用できる jQuery などの一般的な js ファイルを提供します。
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.0/jquery.min.js"></script>
ちなみに、JSONPの jQuery の実装はまさにそのように機能します。<script>javascript を使用して、リモート サーバー側のスクリプトを指す DOM にタグを動的に挿入します。
<script src="//remotedomain.com/script?callback=abc"></script>
このリモート スクリプトは、Content-Type: 'application/x-javascript'応答ヘッダーと次の本文で応答します。
abc({"foo":"bar"})
abcドメインでは、関数を定義するだけです。
<script type="text/javascript">
function abc(data) {
alert(data.foo);
}
</script>
クロスドメイン AJAX のシミュレーションです (ネイティブ XHR オブジェクトを使用していないため、シミュレーションと言いましたが、同じ効果が得られます)。
これで、jQuery の JSONP 実装が GET リクエストのみに制限されている理由が理解できます。これは、script タグを挿入すると、ブラウザーがそのsrc属性に GET リクエストのみを送信するためです。
はい。scriptタグを使用して他のドメインからスクリプトを読み込むことはできますが、XmlHTTPRequestオブジェクト (AJAX リクエスト) を使用してクロスドメイン リクエストを作成することはできません。
外部の.jsがロードされている限り
<script>
tag the same origin ポリシーは、信頼できる安全な js であると見なします。