为什么浏览器不允许跨域 AJAX 请求,而 JavaScript/CSS 文件却可以从其他域中毫无问题地检索?
我知道有办法解决这个问题,但我想知道是什么因素导致浏览器阻止了跨域 AJAX 调用。
如果可以通过<script> 或<link> 标签访问任何JavaScript 或CSS 文件,为什么不能通过AJAX 调用访问相同的内容?为什么允许跨域链接/脚本标签而不是 AJAX?
【问题讨论】:
标签: javascript ajax cross-domain-policy
这是为了用户安全:
假设您已登录 Facebook 并在另一个浏览器选项卡中访问恶意网站。如果没有同源策略,该网站上的 JavaScript 可以对您的 Facebook 帐户执行您被允许执行的任何操作。例如阅读私人消息、发布状态更新、在提交表单之前输入密码后分析 HTML DOM 树。
来自here
更新:
1- 当您使用 script 或 link 或 img 标签定位文件时,您正在从其服务器下载文件,然后其操作仅限于您的 域上下文(访问您的 DOM,操作您的 DOM ...)。
2- 但是当您想对另一个网站进行 ajax 调用时,您可能有能力对该网站进行更改。因此,为避免这种风险,浏览器会检查您与网站的请求并获得其响应。如果是no,则浏览器拒绝您的请求,如果是yes,则它是passes您对服务器的请求。另一方面,它是允许或拒绝跨域请求的目标网站.
3- 不仅仅是Ajax,还有webSocket 甚至Flash。
【讨论】: