WEB安全学习笔记：浏览器的同源策略

WEB安全学习笔记：浏览器的同源策略

浏览器的同源策略，限制来自不同源的脚本对document的操作。

比如，在ajax开发时，xmlhttprequest是无法跨域访问资源的，且不同源的js脚本文件，权限上也会被限制住。

这一切都是为了安全考虑。

那么如何能跨域进行访问资源？

那就是在根目录下放置一个XML文件，来允许特定的源进行操作，如，以下是qq（http://www.qq.com/crossdomain.xml）文件：

<cross-domain-policy>
<allow-access-from domain="*.qq.com"/>
<allow-access-from domain="*.gtimg.com"/>
</cross-domain-policy>