Fino ad ora mi risulta che la politica della stessa origine sia stata applicata alle richieste AJAX utilizzando fetch o xmlHttpRequest , ma ho appena appreso che anche gli oggetti multimediali utilizzano questo criterio.
Ci sono altre cose che usano la politica della stessa origine?
Potrebbe essere meglio considerarlo come "Qualsiasi cosa tranne i tag script utilizzano la politica della stessa origine"?
Are there other things that use the same-origin policy?
Tutti gli accessi incrociati sono soggetti alla politica della stessa origine. Ma non esiste una singola regola one che si applichi ugualmente a tutti i metodi di interazione. Potresti trovare utile la distinzione tra scrittura di origine incrociata e legge e incorporamento .
Cross-origin network access
The same-origin policy controls interactions between two different origins, such as when you use
XMLHttpRequestor an<img>element. These interactions are typically placed in three categories:
- Cross-origin writes are typically allowed. Examples are links, redirects and form submissions. Certain rarely used HTTP requests require preflight.
- Cross-origin embedding is typically allowed. Examples are listed below.
- Cross-origin reads are typically not allowed, but read access is often leaked by embedding. For example you can read the width and height of an embedded image, the actions of an embedded script, or the availability of an embedded resource.
Here are some examples of resources which may be embedded cross-origin:
- JavaScript with
<script src="..."></script>. Error messages for syntax errors are only available for same-origin scripts.- CSS with
<link rel="stylesheet" href="...">. Due to the relaxed syntax rules of CSS, cross-origin CSS requires a correct Content-Type header. [...]
L'incorporamento di origine incrociata è l'interazione più scomoda da controllare. Vuoi mantenere separate le origini ma vuoi anche offrire agli utenti un'esperienza di navigazione senza interruzioni. Ecco perché le immagini cross-source incorporate perdono inevitabilmente le loro dimensioni e i frame incrociati sono potenzialmente vulnerabili a clickjacking .
Might it be better to think of it as "Anything but
scripttags use same-origin policy"?
Come puoi vedere, la politica della stessa origine si applica anche agli script. Un documento può incorporare uno script di origine incrociata e lavorare con le sue funzioni e variabili globali, ma non può leggere l'intero codice sorgente dello script o rilevarne gli errori. La possibilità di incorporare script e fogli di stile di origine incrociata ha dato origine a vulnerabilità come cross- inclusione dello script del sito (XSSI) .
Leggi altre domande sui tag ajax same-origin-policy