WEB安全学习笔记:浏览器的同源策略

2018/04/26

WEB安全学习笔记:浏览器的同源策略

浏览器的同源策略,限制来自不同源的脚本对document的操作。

比如,在ajax开发时,xmlhttprequest是无法跨域访问资源的,且不同源的js脚本文件,权限上也会被限制住。

这一切都是为了安全考虑。

那么如何能跨域进行访问资源?

那就是在根目录下放置一个XML文件,来允许特定的源进行操作,如,以下是qq(http://www.qq.com/crossdomain.xml)文件:

<cross-domain-policy>
<allow-access-from domain="*.qq.com"/>
<allow-access-from domain="*.gtimg.com"/>
</cross-domain-policy>





Post Directory