- 同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。
- 但是有src属性的标签不受同源策略的影响。比如script、img、iframe、link。相当于浏览器发送get请求。
- 但是原页面的js不能访问通过src加载的资源。这也是和XMLHttpRequest的重大区别。
- 对于浏览器来说:除了DOM、Cookie、XMLHttprequest会受到同源策略的限制外,浏览器加载的第三方插件也有各自的同源策略。例如:flash,java applet,silverlight等。
- 很显然同源问题对于开发者和攻击者都设置了不便。
domain设置
只能设置更高一级。比如当前是a.shaojwa.com
则只能设置shaojwa.com而不能b.shaojwa.com