首先,我很尴尬,我不知道这一点。我知道这些东西有效,但不知道为什么。关于 CDN 和 Google Analytics(分析)或 Adsense 之类的东西,我仍然不了解一些东西。
如果这些脚本来自您网站域以外的域,这一切与same origin policy (SOP) 和cross-site scripting (XSS) 有什么关系?根据我对 XSS 和 SOP 的了解,这些脚本不应该能够在您的站点中运行或与 DOM 交互。他们怎么会有特权?以及这些特殊权限与其他因 XSS 和 SOP 导致浏览器出错的外部脚本有何区别?
简而言之,我想知道为什么允许来自其他域的脚本运行、与我的网站交互和操作?
【问题讨论】:
标签: javascript xss same-origin-policy
您误解了这些政策。
SOP 防止页面(例如在框架中)与来自不同域的页面交互,或读取不同域中的资源(AJAX 请求)。
在您的页面中执行来自不同域的脚本没有任何问题,只要您明确加载它。 (这就是 JSONP 的工作原理)但是,您无法读取脚本的源代码,因为这是来自不同域的资源。
浏览器安全限制基于执行代码的页面来源,而不是特定 <script> 来自的站点。
请注意,包含来自不同域的 Javascript 会授予该脚本对您页面的完全访问权限;它可以发送 AJAX 请求(到您的域)并通过向其他域发送非 AJAX 请求来窃取信息。
如果您信任该域,则仅包含来自不同域的脚本。
【讨论】:
<script> 元素等方式对其进行处理。同样,浏览器基本上假定您知道自己在做什么。浏览器将阻止访问您从其他域加载的那些脚本的源代码。脚本代码本身的出处永远不会影响它可以做什么,只会影响其他脚本是否可以访问源代码。 (需要注意的是,有些人认为这是一个安全问题,但它会破坏网络以禁止它。)
<script>标签;不管它是原始来源的一部分还是动态添加的。