对子域的 AJAX 调用是否被视为跨站点脚本？答案

【问题标题】：Are AJAX calls to a sub-domain considered Cross Site Scripting?对子域的 AJAX 调用是否被视为跨站点脚本？
【发布时间】：2010-06-14 20:09:48
【问题描述】：

我有服务器 A (www.example.com) 向服务器 B 发送信息。我只能在服务器 A 上使用 HTML / JS（并且必须在服务器 B 上进行“处理”）所以我正在尝试发送通过 AJAX 表单数据（尽量避免将表单发布到服务器 B - 不要问）。

显然，跨域进行 AJAX 调用被认为是 XSS 并且是一个很大的禁忌，但如果我将服务器 B 放在子域 (sub.example.com) 中，那会被认为可以吗？如何检测跨域错误？浏览器是否查找 DNS 记录？ IP 地址？

提前感谢您的帮助。

【问题讨论】：

同源策略主要是为了避免 CSRF (en.wikipedia.org/wiki/Cross-site_request_forgery) 并有助于减轻可能的 XSS 攻击的影响。

【解决方案1】：

子域被认为是不同的，除非两个子域声明相同的document.domain DOM 属性（即使那样，不同的浏览器行为不同），否则Same Origin Policy 将失败。

【讨论】：

【解决方案2】：

简短回答：否。请参阅Same Origin Policy

您只能向相同的主机、端口和协议发出 XHR 请求。

如果你想做 Ajax 而不拘泥于它，你可以看看JSON-P。

（XSS 是一个完全不同的鱼缸，其中网站允许将数据注入其中（例如通过 URI），这些数据被视为 JS，允许第三方在登录时将人们引导到您的网站它，并窃取或编辑数据。）

【讨论】：