クロスドメインに関連する2つのことについて少し混乱しています。
2つのドメインがあるとします。mydomain.comおよびotherdomain.com
mydomain.comで、otherdomain.comからアクセスできる許可されているものは何ですか?つまり、私たちは持つことができます
<img src="otherdomain.com/xyz.jpg">
同様に、iframe srcでotherdomain.comを直接使用できますか?デフォルトで許可されているものは何ですか?otherdomain.comの視点からのアクセスを防ぐために何ができるでしょうか?
2番目の部分はJavaScript/AJAXに関連しています。他のドメインのものは、スクリプト関連のものでデフォルトでブロックされていますか?AJAXを使用して、デフォルトでotherdomain.comにリクエストを送信できますか?許可されていますか?許可されていない場合、otherdomain.comから応答を取得するために何ができますか?
どうもありがとう。
ウィキペディアを読んでください。
別のドメインから読み取ることはできません(許可されていない限り)。
別のドメインのコンテンツを表示または実行することはできますが(たとえば、画像、フレーム、またはスクリプトタグを使用して)、コードから直接読み取ることはできません。
したがって、AJAXリクエストを別のドメインに送信したり、別のドメインから読み込まれた画像、フレーム、またはスクリプトタグの内容を読み取ったりすることはできません。
otherdomain.comからアクセスできる許可されているものはすべて何ですか?つまり、私たちは持つことができます
<img src="otherdomain.com/xyz.jpg">
「表示」と「アクセス」を区別する必要があります。画像を含めることはできますが、同一生成元ポリシー(SOP)のため、そのデータにアクセスすることはできません。
同様に、iframe srcでotherdomain.comを直接使用できますか?デフォルトで許可されているものは何ですか?
スタイルシート、スクリプト、画像からフレームを介したページ全体まで、リンクできるすべてのものを含めることができます。他のドメインからスクリプトを実行することは、実際にはJSONPと呼ばれるデータを取得するための標準的な方法です。サードパーティのCDNからのリソースを含めることも一般的です。
otherdomain.comの観点からのアクセスを防ぐために何ができるでしょうか?
X-FRAME-OPTIONS-headerを使用して、フレームを介したインクルードを防ぐことができます。これは、ほとんどのブラウザーで尊重される必要があります。
間違ったヘッダーでリクエストに応答する(404コンテンツを送信する)ことを回避することもできますがREFERER、REFERERはブラウザーによって無効にされたり、ファイアウォールによってブロックされたりすることが多いため、これは信頼できる方法ではありません。
2番目の部分はJavaScript/AJAXに関連しています。他のドメインのものは、スクリプト関連のものでデフォルトでブロックされていますか?AJAXを使用して、デフォルトでotherdomain.comにリクエストを送信できますか?許可されていますか?
いいえ、データへのアクセスはブロックされています。リクエストを送信することはできますが、明示的に許可するためにCORSヘッダーが送信されない限り、スクリプトでレスポンスを利用することはできません。
許可されていない場合、otherdomain.comから応答を取得するために何ができますか?
mydomain.comでプロキシを使用できます。
できますか
<img src="otherdomain.com/xyz.jpg">
はい、これと、画像、ビデオ、オーディオファイル、zip、pdfなどの他のリソースを使用できます...
iframe srcでotherdomain.comを直接使用できますか?
デフォルトでotherdomain.comにリクエストを送信できますか?許可されていますか?
いいえ。セキュリティ上の理由から。
許可されていない場合、otherdomain.comから応答を取得するために何ができますか?
otherdomain.comを所有している場合は、jsonpといくつかのphpのものを使用できます。
http://remysharp.com/2007/10/08/what-is-jsonp/