10

SO「jQuery Linking vs. Download」で質問を読みましたが、どういうわけかわかりません。

でページをホストしているがhttp://yourserver.com、 から jQuery ライブラリをロードhttp://ajax.googleapis.comし、jQuery スクリプトで定義された関数を使用するとどうなりますか?

この場合、「同一オリジン ポリシー」はカウントされませんか? つまり、AJAX 呼び出しを に戻すことはできますhttp://yourserver.comか?
実行されている JavaScript は から来ていると見なされyourserver.comますか?

ここでの私のポイントは、ユーザーがサードパーティのサーバー (申し訳ありませんが、Google) から何をダウンロードしたかわかりませんが、それでも彼のコンピューターで実行されているコードは、あなたのサーバーからダウンロードしたものと同じくらい優れていますか?

編集: あまりよく知らないサードパーティの Web 統計カウンターを使用すると、コードが「挿入」され、コードが私の一部であるかのように Web サービスに呼び出される可能性があるということですか?

4

3 に答える 3

6

サイトhttp://yourserver.com/の所有者は、他のサーバー (この場合は Google のサーバー) から参照するコンテンツを信頼する必要があります。同一オリジン ポリシーは、「スクリプト」タグには適用されません。

もちろん、外部サーバーのスクリプト (ロードされると) は DOM 全体にアクセスできます。そのため、外部コンテンツが危険にさらされると、セキュリティが危険にさらされる可能性があります。

Web の世界の多くのことと同様に、それは信頼と継続的な管理に帰着します。

編集

あまりよく知らないサード パーティの Web 統計カウンターを使用すると、サード パーティが何らかのコードを「挿入」して、そのコードが自分のコードの一部であるかのように、私の Web サービスを呼び出す可能性があるということですか?

はい。

于 2010-01-19T13:27:46.387 に答える
2

編集コメントへの回答: はい。カウンターが iframe タグでラップされていない限り、カウンターは Web サイトの一部であるかのように扱われ、Web サービスを呼び出したり、Cookie にアクセスしたりできます。

于 2010-01-19T14:48:07.417 に答える
1

<script>はい、ポリシーはタグには適用されません。

誰かが google のスクリプト ストアをハッキングできた場合、スクリプトのホストとして google.com を使用するすべてのドメインから提供されるすべてのページに影響が及びます。

于 2010-01-19T13:26:33.380 に答える