問題タブ [same-origin-policy]

会社のイントラネットに JBoss を実行するサーバーがあります。私のマシンからイントラネット上にあるこのサーバーに API 呼び出しを送信し、JQuery を使用して結果の XML 応答を取得したいと考えています。

ウィキペディアのエントリを読みましたが、それが私の状況にどのように当てはまるか混乱しています。マシンにはドメイン名ではなく IP アドレスしかないためです。

私は持っている

• サーバー URL : 10.2.200.3:8001/serviceroot/service
• クライアント IP アドレス: 10.2.201.217

私の質問は次のとおりです。

1. 私が理解している限り、これらは異なるドメインですよね? したがって、プロキシを使用してサーバーに JQuery.ajax 呼び出しを発行する必要があります
2. (2)を避けたい場合、サーバーにApacheをインストールし、そこにJSコード形式でページをサーバーすることはできますか? ただし、JS は 10.2.200.3 からのものになり、サーバーは 10.2.200.3:8001 になります。これらはポリシーによって異なるドメインと見なされていませんか?

ありがとう！

インターネット上のさまざまなサーバーでホストされている継続的に変化するデータを表示するために（AJAXなどを使用して）自分自身を更新するだけの単一ページである単純な「Web」アプリケーションを構築する最も簡単な方法は何ですか？

（たとえば）Twitter、Facebook、Skype、Googleカレンダー、およびある種のWebAPIを備えた他の多くのサービスとインターフェースを取りたい。

アプリケーションは、これらのサービスにアクセスするために必要な認証パラメーターを使用してアプリケーションを構成する以外に、ユーザーとの対話を許可する必要はありません。

UI要素を表示せずに、表示しているきれいな情報だけを表示して、フルスクリーンで実行できるはずです。

Jqueryを使用してHTMLファイルを書き始めましたが、「同一生成元ポリシー」の問題が発生しています。これを回避する方法はありますか？

これをHtml/Javascriptで記述し、Google Chromeで実行したいのですが、どういうわけかそれは可能ですか？ドメインを横断するためのプロキシとして自分のWebサーバーをホストせずにSOPを回避する方法がわかりません。

まだかなり簡単でシンプルな別の選択肢はありますか？Windows Vistaサイドバーの使用を検討しましたが、フルスクリーンガジェットを使用できないようです。

私が構築しているシステムで 私が提供したい

1. 静的ファイル (静的 HTML ページと大量の画像)、および
2. サーブレットによって生成された動的 XML。

動的 XML はデータベースから (Hibernate を介して) 生成され、Restlets を使用して API 呼び出しに応答してそれを提供します。動的サーバー トラフィックを妨げないように、静的ファイル サーバー (Apache など) を作成したいと考えています。現在、両方のサーバーを同じマシンで実行する必要があります。

私はこれまでにこのようなことをしたことがなく、これが私が立ち往生している場所です:

静的 HTML ページには、動的サーバーへの API 呼び出しを行う JavaScript が含まれています。ただし、2 つのサーバーは異なるポートで動作するため、同じオリジンの問題に行き詰まります。これはどのように解決できますか？

おまけとして、このような静的/動的コンテンツ サービス システムの作成方法を説明しているリソースを教えていただければ幸いです。

ありがとう！

iframe 内のリンクを含むページでクリックされたリンクを傍受しようとしています。これは私が持っているコードですが、機能していません。私がしなければならないことはありますか？

Container は、iframe のすぐ内側にある div の ID です。

事前にアドバイスをありがとう

私は、Firefox (およびほとんどの最新のブラウザー) によって設定された同一生成元ポリシーのために、通常は失敗するドメインへの ajax 呼び出しを含む Firefox 拡張機能に取り組んでいます。

同じオリジンの制限をオフにする方法があるかどうか (おそらく about:config で)、または開発者がこのために使用する標準のライト ブラウザーがあるかどうか疑問に思っていました。

可能であれば、ブラックハット ツールの使用は避けたいと思います。私が彼らに反対しているからではなく、プロセスに新たな学習曲線を追加したくないだけです.

PHPでcurlを使ってリクエストが動くことを確認できますが、アドオンが実際に使うjsを書き始めたいので、jsを実行するクライアントが必要です。

また、spidermonkey も試しましたが、jquery で ajax を実行しているため、ブラウザー ベースのデフォルト変数のすべてに適合しました。

簡単に言うと、主にハッカー アプリではないクロス サイト スクリプティング用の信頼できるブラウザ/クライアントはありますか? または、Firefox で同一ドメイン ポリシーをオフにすることはできますか?

私は次の観察を行いました。

外部ラスター イメージを参照する svg イメージを作成しxlink:href、ブラウザでその svg を読み込もうとすると、タグを使用した場合にのみ外部イメージが表示されますが、<object>タグを使用した場合は表示されません<img>。

タグを使用したレンダリング<object>は非常に遅く、画像に img タグを使用するほどきれいではないため、タグを介して機能させる方法があるかどうか疑問に思っていました<img>.

最初は、同一生成元ポリシーのために機能しないと思っていましたが、参照された画像が同じディレクトリにあり、その名前だけで参照しても、読み込まれません。

何か案は？

私の現在の仕事のプロジェクトには、クライアントによって展開されるSharePoint2007Webパーツの開発が含まれます。より良いユーザーエクスペリエンスを提供するために、私はaのSRC属性をIFRAMEHTTPハンドラーのアドレスに設定することでajaxを「シミュレート」しています。これらのハンドラーは、12ハイブのlayoutsディレクトリーにデプロイされます。

$get()これは機能しますが、jQueryのメソッドを使用したいと思います。これは私のシナリオで確実に機能しますか、それとも同一生成元ポリシーの対象になりますか？WebPartがSharePointファームのさまざまな場所に展開されているシナリオはどうですか？その場合の使用に問題はあります$get()か？

同一生成元ポリシーにより、を使用してHTTPハンドラーを呼び出すことができなくなります$getか？

リモート ドメインのページが変更されたかどうかを判断するクライアント側の方法を見つけようとしています。

同じオリジン ポリシーにより、ページを iframe に読み込んでそのコンテンツを調べることができません。

だから私は.getResponseHeader("Content-Length")andを使ってみましたが、どうやらコンソールに.getResponseHeader("Last-Modified")FireBugが表示されていても、これらもSOPによって制限されているようです。Content-Length

これを行う方法はありますか？ページが変更されたかどうかを知る方法が必要です。

どうも

私は、他のユーザーが自分のWebサイトのダッシュボードに埋め込むために、ユーザーがJavascriptを利用したウィジェットを作成できるようにするシステムについて考えています。これらのウィジェットをかなり厳密に制限したいので、それぞれが独自のホスト名で保持されるiframeとして存在しますw47.widgets.example.com。たとえば、ID＃47のウィジェットはでアクセスできます。

権限付与ダイアログなどの場合、iframeがユーザーに代わって親フレームで好きなことを行うことを許可せずに、ウィジェットが親ウィンドウによって明示的に付与された非常に特定のメソッドを呼び出せるようにすると便利です。

親ドキュメントが別のホスト上の子ドキュメントへの特定のメソッド呼び出しを明示的に許可することは可能ですか？

同一生成元ポリシー

HTML / JS同一生成元ポリシーに関するコミュニティウィキを作成して、このトピックを検索するすべての人に役立つことを願っています。これはSOで最も検索されているトピックの1つであり、統合されたwikiがないため、ここに移動します:)

同一生成元ポリシーは、あるオリジンからロードされたドキュメントまたはスクリプトが別のオリジンからドキュメントのプロパティを取得または設定することを防ぎます。このポリシーは、NetscapeNavigator2.0にまでさかのぼります。

同一生成元ポリシーを回避するためのお気に入りの方法は何ですか？

例を冗長に保ち、できればソースもリンクしてください。