WEB安全学习笔记:浏览器的同源策略
浏览器的同源策略,限制来自不同源的脚本对document的操作。
比如,在ajax开发时,xmlhttprequest是无法跨域访问资源的,且不同源的js脚本文件,权限上也会被限制住。
这一切都是为了安全考虑。
那么如何能跨域进行访问资源?
那就是在根目录下放置一个XML文件,来允许特定的源进行操作,如,以下是qq(http://www.qq.com/crossdomain.xml)文件:
<cross-domain-policy> <allow-access-from domain="*.qq.com"/> <allow-access-from domain="*.gtimg.com"/> </cross-domain-policy>