为什么以及如何在脚本标签中豁免同源政策?
Why and how is same origin policy exempted in script tags?
我有一个很简单的问题。为什么以及如何对脚本、链接 img 等内容免除同源政策?
我相信使用 GET 加载脚本和链接的方式与调用服务器的方式类似 API。那么区别是什么呢。为什么在这些标签中豁免此政策不能伤害我们。
我在 SO 上发现了这个(Why is the HTML SCRIPT tag not subject to the same origin policy)唯一的问题,没有令人满意的答案,甚至没有被接受的答案。
发送 GET 请求(即使使用 cookie)也无害; GET 请求不应有任何副作用。
None 这些标记允许调用页面(直接)读取响应,因此它们不会泄露信息。
因此,允许它(几乎)没有错。
我有一个很简单的问题。为什么以及如何对脚本、链接 img 等内容免除同源政策?
我相信使用 GET 加载脚本和链接的方式与调用服务器的方式类似 API。那么区别是什么呢。为什么在这些标签中豁免此政策不能伤害我们。
我在 SO 上发现了这个(Why is the HTML SCRIPT tag not subject to the same origin policy)唯一的问题,没有令人满意的答案,甚至没有被接受的答案。
发送 GET 请求(即使使用 cookie)也无害; GET 请求不应有任何副作用。
None 这些标记允许调用页面(直接)读取响应,因此它们不会泄露信息。
因此,允许它(几乎)没有错。