「同源產品策略」和從谷歌加載的腳本 - 易受攻擊的解決方案？

如果您在http://yourserver.com上承載頁面，但是從http://ajax.googleapis.com加載jQuery庫，然後使用jQuery腳本中定義的函數，會發生什麼？

在這種情況下，「同源原則」不算嗎？我的意思是，你可以將AJAX調用回http://yourserver.com嗎？
被執行的JavaScript是否被視爲來自yourserver.com？

我的問題在於，您不知道用戶從某些第三方服務器（對不起，谷歌）下載了什麼，仍然在他的計算機上執行的代碼與從服務器上下載的代碼一樣好？

編輯：這是否意味着_that如果我從第三方使用Web統計計數器我不太瞭解，他們可能會「注入」一些代碼並調用我的Web服務，就好像它們的代碼是礦？

2010-01-19 naivists

（如果您運行純樸的http，它不會像你知道任何代碼來自哪裏。） – 2010-01-19 15:15:23

網站http://yourserver.com/的擁有者應該信任它從其他服務器（在本例中是Google的）所引用的內容。相同的來源策略不適用於「腳本」標記。

當然，外部服務器（一旦加載）的腳本可以訪問整個DOM：因此，如果外部內容受到威脅，則可能存在安全風險。

與網絡世界中的許多事情一樣，它歸結爲信任和持續管理。

編輯：

這是否意味着_that如果我使用網絡統計計數器從第三方我不很瞭解，他們可能「注入」一些代碼，調入我的 Web服務就好像他們的代碼是我的部分？

是的。

2010-01-19 13:27:46 jldupont

謝謝你的回答。儘管我仍然不喜歡第三方腳本出現在我的網頁中，但我將其標記爲已接受。但是，正如你所說，這歸結爲相信......或者不相信;-) – naivists 2010-01-19 21:03:45

是的，該政策不適用於<script>標籤。

如果有人能夠破解谷歌的腳本存儲，它會影響每個域的每個頁面，它使用google.com作爲腳本的主機。

2010-01-19 13:26:33 Cheeso

相同的來源策略是一組javascript規則。 – rook 2010-01-19 20:19:20

我明白它是什麼。我的意思是，它不適用於從

12. 訪問iframe中的按鈕，解決方法同源策略

13. JAXB - 「物體工廠級碰撞」的解決方案和策略

14. 用解決方案中的R解決衍生產品錯誤

15. Php腳本解決方案

16. 瀏覽器URL編碼XSS攻擊是否易受攻擊？

17. 不是JavaScript分析腳本易受數據黑客攻擊嗎？

18. 同源策略

19. 是IndexedDB和同源策略

20. 易受攻擊的PHP代碼示例？

21. Silverlight和實體框架解決方案策略

22. 在WordPress上對XmlRpc.php進行暴力攻擊的解決方案

23. 舊版網站易受XSS攻擊

24. 谷歌地圖api腳本確實由於內容安全策略加載

25. java腳本和相同的來源策略混淆

26. 是否Spring - SpEL易受攻擊？

27. jFeed同源策略

28. XMLHttpRequest同源策略

29. ajax調用容易受到xss攻擊

30. Visual Studio 2012中的解決方案項目參考策略

回答