注册
登录
策略引擎
同源政策
返回
同源政策
作者:
不丶离
发布时间:
2024-12-09 04:43:15 (1月前)
转自:
<div class =“excerpt”> 也许你们中的一些人可以帮助我更好地理解javascript的同源 <span class =“result-highlight”> 政策 </跨度> 。 同样的起源 <span class =“result-highlight”> 政策 </跨度> 定义如下(http://en.wikipedia.org/wiki/Same_origin_policy ): 在计算中,同样的起源 <span class =“result-highlight”> 政策 </跨度> 是许多浏览器端编程语言(如JavaScript)的重要安全概念。该 <span class =“result-highlight”> 政策 </跨度> 允许在源自 的页面上运行脚本 </DIV>
收藏
举报
4 条回复
0#
回复此人
猫南北
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 在服务之间访问数据与从另一个域调用在一个域上定义的JavaScript函数不同。 <img src =“https://i.stack.imgur.com/s6mrw.jpg”alt =“在此处输入图片说明”/> </p> <P> 换句话说,我认为你混淆了“同源策略”(例如,我的浏览器中的一个选项卡阻止我在浏览器的另一个选项卡中调用在某个站点上定义的JS函数),JS从URL获取数据(例如来自雅虎的股票价格)。 </p> </DIV>
编辑
1#
回复此人
Minions
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这是你需要做的:JSONP。 </p> <P> 由于所述政策,您不能向雅虎提出AJAX请求,但有一些解决方法。即脚本标记,可以向任何地方发出请求。 </p> <P> 例如,假设您想在用户点击“开始”按钮时向雅虎发出请求。您需要添加一个事件处理程序来捕获用户的click事件,然后将新脚本标记添加到DOM的head部分。脚本标记的URL很重要,它必须有一个回调参数,例如: </p> <P> <a href="http://helloasdf.cloudfoundry.com/get.tokens?callback=xss" rel="nofollow"> http://helloasdf.cloudfoundry.com/get.tokens?callback=xss </A> </p> <P> 注意回调可以是任意函数名。答复将是: </p> <pre> <code> xss(["asdf"]) </code> </pre> <P> 意味着你的代码中的xss函数将被传递[“asdf”]。 </p> <P> 或者w / yahoo的API; </p> <P> <a href="http://d.yimg.com/autoc.finance.yahoo.com/autoc?query=GS&callback=YAHOO.Finance.SymbolSuggest.ssCallback" rel="nofollow"> http://d.yimg.com/autoc.finance.yahoo.com/autoc?query=GS&callback=YAHOO.Finance.SymbolSuggest.ssCallback </A> </p> <P> 注意callback = YAHOO.Finance.SymbolSuggest.ssCallback它将在请求返回时调用该函数: </p> <pre> <code> YAHOO.Finance.SymbolSuggest.ssCallback({"ResultSet":{"Query":"gs","Result":[{"symbol":"GS","name": "The Goldman Sachs Group, Inc.","exch": "NYQ","type": "S","exchDisp":"NYSE","typeDisp":"Equity"},{"symbol":"^GSPC","name": "S&P 500 INDEX,RTH","exch": "SNP","type": "I","typeDisp":"Index"},{"symbol":"GSS","name": "Golden Star Resources, Ltd.","exch": "ASE","type": "S","exchDisp":"AMEX","typeDisp":"Equity"},{"symbol":"^GSPTSE","name": "S&P/TSX Composite index (Interi","exch": "TOR","type": "I","exchDisp":"Toronto","typeDisp":"Index"},{"symbol":"GSK","name": "GlaxoSmithKline plc","exch": "NYQ","type": "S","exchDisp":"NYSE","typeDisp":"Equity"},{"symbol":"GSX","name": "Gasco Energy Inc.","exch": "ASE","type": "S","exchDisp":"AMEX","typeDisp":"Equity"},{"symbol":"OIL","name": "iPath S&P GSCI Crude Oil TR Index ETN","exch": "PCX","type": "E","typeDisp":"ETF"},{"symbol":"GSIC","name": "GSI Commerce Inc.","exch": "NMS","type": "S","exchDisp":"NASDAQ","typeDisp":"Equity"},{"symbol":"GST","name": "Gastar Exploration, Ltd.","exch": "ASE","type": "S","exchDisp":"AMEX","typeDisp":"Equity"},{"symbol":"GSI","name": "General Steel Holdings, Inc.","exch": "NYQ","type": "S","exchDisp":"NYSE","typeDisp":"Equity"}]}}) </code> </pre> <P> 以下是动态添加脚本标记所需的js示例: </p> <pre> <code> var headLoc = document.getElementsByTagName("head").item(0); var scriptObj = document.createElement("script"); var token="localstring" var url="http://helloasdf.cloudfoundry.com/get.tokens?callback=xssCallback"; // Add script object attributes scriptObj.setAttribute("type", "text/javascript"); scriptObj.setAttribute("charset", "utf-8"); scriptObj.setAttribute("src", url); scriptObj.setAttribute("id", 'asf12'); headLoc.appendChild(scriptObj); </code> </pre> <P> 我在这里更多地记录了这个过程: <a href="http://eggie5.com/22-circumvent-same-origin-policy" rel="nofollow"> http://eggie5.com/22-circumvent-same-origin-policy </A> </p> </DIV>
编辑
2#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您可以使用Yahoo Finance <a href="http://en.wikipedia.org/wiki/JSONP" rel="noreferrer"> JSONP </A> ,所以这绝对是你正在使用的。 </p> <P> 一个示例URL是...... </p> <pre> <code> http://d.yimg.com/autoc.finance.yahoo.com/autoc?query=Apple&callback=YAHOO.Finance.SymbolSuggest.ssCallback </code> </pre> <P> 加载请求后,它将调用您在GET参数中定义的回调。这可以让你解决 <EM> 同源政策 </EM> ,前提是该服务支持JSONP。 </p> <P> 或者,有些人使用他们的服务器作为代理。 </p> </DIV>
编辑
登录
后才能参与评论
