2.4 浏览器同源策略
1、在浏览器中,<script>、<img>、<iframe>、<link>等标签的src属性都可以跨域加载资源,带src属性的标签每次加载的时候都会由浏览器发起一次GET请求,这些通过src加载的资源,浏览器限制了JavaScript的权限(无法读/写返回的内容,记住这一点和XMLHttpRequest不同,XHR可以读/写返回的内容,但不能跨域访问资源,否则会导致token等敏感信息泄露)
2、跨域的方法:
(1)AJAX跨域:CORS机制(《Web前端黑客技术解揭秘》P27)
(2)P3P属性:
(3) FLASH跨域:crossdomain.xml (《Web前端黑客技术解揭秘》P57、P95)
2.5.4本地存储风险