【发布时间】:2013-04-03 01:39:15
【问题描述】:
从http 和https 协议提供的脚本的 src URL 中省略协议是否完全安全?
例如,Google CDN 上的 jQuery 代码可以这样访问:
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>
Facebook 和 jQuery 建议开发人员在脚本标签中使用没有协议的源代码。他们的 CDN 服务于 HTTP 和 HTTPS 协议,因此如果其中包含脚本的页面以 HTTP 或 HTTPS 提供,它将获取具有匹配协议的脚本。这是这种做法的好处。
这有什么问题吗?我最关心的是安全性。
【问题讨论】:
标签: javascript security cross-domain xss