クロスドメインポリシーは、別のドメインからのコンテンツのダウンロードを制限します。
http://mysiteA.com <--NO--> http://myothersite.com
しかし、同じドメインから別のプロトコルを介してダウンロードすることは許可されており、日常のWebブラウザーで機能しますか(誰かがテストできますか)?
http://mysite.com <--?--> https://mysite.com
2 に答える
2
はい(タイトルの質問に対して)、ウィキペディアの「同一生成元ポリシー」の説明によると:
「オリジン」という用語は、ドメイン名、アプリケーション層プロトコル、および(ほとんどのブラウザーで)スクリプトを実行しているHTMLドキュメントのTCPポートを使用して定義されます。これらすべての値が完全に同じである場合に限り、2つのリソースは同じ起源であると見なされます。
したがって、たとえばhttp://foo.barとhttps://foo.barは「同一生成元」ではありません。
于 2009-06-07T06:39:26.047 に答える
1
だからあなたは混乱しています。これはXSSではありませんが、クロスドメインアクセスです。XSSはセキュリティの脆弱性であり、ユーザー入力をエンコードせずにHTMLページにエコーバックします。
あなたが求めているのは、おそらくAjaxからのクロスドメインアクセスですが、おそらくSilverlightまたはFlashからのアクセスです。
これがそうである場合、答えはノーです。プロトコルが異なるため、1つのサイトにHTTPがあり、1つのサイトにHTTPSがあります。プロトコル、ドメイン名、およびネットワークポートがすべて一致するリソースにのみアクセスできます。
于 2009-06-07T06:41:26.603 に答える