8
不使用谷歌CDN的jQuery打破了不使用网页上的跨域请求的规则。我们是否相信Google足以做到这一点?jquery跨域和谷歌CDN
A
回答
9
浏览器本身允许使用来自外国网站的脚本标签。因为它假定你打算加载这个功能。加载的脚本不能直接与外部域进行通信(XHR同源,CORS除外)。现在,这正是您不希望允许未经检查的用户输入可以从外部站点加载脚本的原因。外国脚本可以做你不想要的事情,但如果它来自可信来源,它应该没问题。
如果谷歌被发现通过CDN使用注射,会产生严重的反弹,我怀疑它会发生什么,如果它确实发生,将比您甚至会注意到这个问题更快地得到纠正。
2
不,它不会破坏跨域请求的规则。当你从谷歌的CDN中加入jQuery时,你只需将一个资源包含到你的页面中(就像链接到一个图像一样)。这并不属于我假设你提到的安全概念Same Origin Policy,它主要包含XHR(ajax)请求。
+0
我看到它的方式,包括
+1,我更喜欢你的解释。 – karim79 2010-02-01 23:17:25
而且,当然,如果您不信任Google,您可以始终通过自己的CDN /基础架构提供服务。 – mithrandi 2010-02-02 00:02:28