script中的src

 

<script src="http://www.somewhere.com/afile.js"></script>

浏览器在解析这个资源时,会向 src 属性指定的路径发送一个 GET 请求,以取得相应资源,假定

是一个 JavaScript 文件。这个初始的请求不受浏览器同源策略限制,但返回并被执行的 JavaScript 则受限制。

当然,这个请求仍然受父页面 HTTP/HTTPS 协议的限制。

这段话主要涉及到同源策略(Same-Origin Policy)和跨源资源共享(CORS)在浏览器中的应用。以下是对这段话的逐步解释:

同源策略

同源策略是一种安全机制,旨在防止一个网站的脚本与另一个网站的内容进行交互

同源(Same-Origin)是指两个 URL 具有相同的协议、域名和端口。只有在以下这三个条件都相同的情况下,浏览器才会认为这两个 URL 是同源的。这是为了确保安全性,防止恶意网站通过脚本访问另一个网站的内容。

1.协议(如 HTTP 或 HTTPS)

2.域名(如 example.com)

3.端口(如 :80 或 :443)

--------------------------------------------------------------------------------

请求不受同源策略限制

这意味着某些请求(例如,向第三方 API 发送请求)可以成功发送,即使它们不符合同源策略。这通常适用于以下情况:

- JSONP: 通过 <script> 标签请求数据,通常不受同源策略限制。

- 某些类型的请求: 比如使用 iframe 等方式加载外部内容。

返回的 JavaScript 受同源策略限制

一旦请求的响应是 JavaScript 代码并被执行,浏览器会检查该 JavaScript 是否符合同源策略。如果不符合,则会限制该脚本的执行,确保防止潜在的安全风险。

浏览器如何检查 JavaScript 是否符合同源策略主要依赖于以下几个方面:

1. 请求的来源

当网页发送请求(如通过 <script> 标签、AJAX 或 Fetch API)时,浏览器会记录该请求的来源(即发起请求的页面的协议、域名和端口)。

2. 响应的来源

当接收到响应(例如,一个 JavaScript 文件)时,浏览器会检查响应中包含的内容是否来自同源。如果响应是一个脚本,浏览器会比较该脚本的来源与请求页面的来源。

3. 执行环境

- 脚本标签: 当使用 <script> 标签加载外部 JavaScript 文件时,浏览器会在加载该文件前检查其来源。如果文件的 URL 不符合同源策略,浏览器会阻止该脚本的执行。

- CORS

- : 对于通过 XMLHttpRequest 或 Fetch API 进行的请求,允许跨源请求的方式是通过设置 CORS(跨源资源共享)头来实现的。服务器需要在响应中包含特定的 CORS 头(如 Access-Control-Allow-Origin)来指示哪些源可以访问其资源。

4. 安全策略

- Content Security Policy (CSP): CSP 是一种额外的安全层,可以帮助防止跨站脚本(XSS)攻击。如果网站设置了 CSP,浏览器会根据策略限制哪些源的脚本可以执行。

5. 错误处理

如果脚本的来源不符合同源策略,浏览器通常会在控制台提供错误信息,指示脚本无法被执行。例如,可能会出现类似“跨源访问被阻止”的错误。

总结

浏览器通过记录请求和响应的来源、比较它们的协议、域名和端口来检查 JavaScript 是否符合同源策略。如果不符,浏览器将限制该脚本的执行,从而保护用户的安全。

HTTP/HTTPS 协议的限制

即使请求本身不受同源策略的限制,仍然需要遵循原页面的 HTTP 或 HTTPS 协议。例如:

- 如果父页面使用 HTTPS,尝试通过 HTTP 加载资源可能会被浏览器阻止。为了安全,混合内容(HTTP 和 HTTPS 的结合)通常是被禁用的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/52298.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Verilog基础,原码,反码与补码的概念

Verilog模块初认识 1、Verilog模块(Module) Verilog中的module可以看成一个具有输入输出端口的黑盒子&#xff0c;该黑盒子有输入和输出接口(信号)&#xff0c;通过把输入在盒子中执行某些操作来实现某项功能。(类似于C语言中的函数) 图1 模块示意图 1.1 模块描述 图1 所示的…

2024年【防爆电气】试题及解析及防爆电气模拟考试题库

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 防爆电气试题及解析考前必练&#xff01;安全生产模拟考试一点通每个月更新防爆电气模拟考试题库题目及答案&#xff01;多做几遍&#xff0c;其实通过防爆电气复审模拟考试很简单。 1、【单选题】()利用输送爆炸危险…

Einsum(Einstein summation convention)

Einsum&#xff08;Einstein summation convention&#xff09; 笔记来源&#xff1a; Permute和Reshape嫌麻烦&#xff1f;einsum来帮忙&#xff01; The Einstein summation convention is a notational shorthand used in tensor calculus, particularly in the fields of …

大美祖国之地名篇-探寻全国同名地名

目录 前言 一、地名数据库 1、数据库模型 2、数据表结构 二、实践之旅&#xff0c;发现同名地名 1、省、市同名 2、市、县同名 3、 区县、乡镇同名 4、乡镇和村委会同名 三、总结 前言 我们祖国地大物博&#xff0c;从北到南&#xff0c;从东到西。祖国位于亚洲东部&…

九,自定义转换器详细操作(附+详细源码解析)

九&#xff0c;自定义转换器详细操作&#xff08;附详细源码解析&#xff09; 文章目录 九&#xff0c;自定义转换器详细操作&#xff08;附详细源码解析&#xff09;1. 基本介绍2. 准备工作3. 自定义转换器操作4. 自定义转换器的注意事项和细节5. 总结&#xff1a;6. 最后&…

电脑怎么限制软件上网?推荐三个超详细的小妙招(软件上网权限管理)

想要控制电脑上哪些软件可以上网、哪些不能&#xff1f;不管是为了保护隐私、节省流量&#xff0c;还是提高工作效率&#xff0c;限制软件上网都是非常实用的小妙招&#xff01; 今天给大家带来三个超详细的招数&#xff0c;帮助你轻松管理软件的上网权限。让那些不该上网的应…

最长的指定瑕疵度的元音子串

题 目描述 开头和结尾都是元音字母(aeiouAEIOU)的字符串为元音字符串&#xff0c;其中混杂的非元音字母数量为其瑕疵度。比如. 1.“a”、“aa"是元音字符串&#xff0c;其瑕疵度都为02.“aiur"不是元音字符串(结尾不是元音字符)3.“abira”是元音字符串&#xff0c…

RocketMQ 集群与高可用性:深入解析与实践指南

目录 前言 RocketMQ集群与高可用性 一、主从同步机制 1.1 使用场景 1.2 原理机制 1.3 数据同步流程 1.4 优缺点 二、RocketMQ 故障转移机制&#xff08;Failover&#xff09; 2.1 使用场景 2.2 原理机制 2.3 故障转移的注意事项 2.4 优缺点 三、主从架构和故障转移…

MySQL的 where 1=1会不会影响性能

MySQL的 where 11会不会影响性能&#xff1f; 一、引言 在编写SQL语句时&#xff0c;我们经常会遇到需要动态拼接查询条件的情况&#xff0c;尤其是在使用MyBatis这类ORM框架时。为了简化代码&#xff0c;很多开发者会使用where 11来开始他们的查询语句&#xff0c;然后通过程…

VSCode学习笔记

1. 快捷键 KeyDescriptionPlatformF1打开命令面板&#xff08;Command Palette&#xff09;Win10Shift Delete剪切当前光标所在的代码行Win10 2. 文件 2.1 在文件列表中定位当前文件 操作路径&#xff1a;右键单击文件名 ⇒ 在右键菜单中点击 【Reveal in Explorer View】

云计算第四阶段----CLOUD 01-03

CLOUD Day01 一、虚拟化平台搭建 虚拟化技术产品介绍 #黄线标注的&#xff0c;都是比较主流且常用的虚拟化平台。 虚拟化与云计算的关系 虚拟化是一种技术&#xff0c;它允许在单个物理服务器上创建和运行多个虚拟机&#xff08;VMs&#xff09;&#xff0c;每个虚拟机都有其…

python编程知识(实现数据加密和解密)

&#x1f468;‍&#x1f4bb;个人主页&#xff1a;开发者-曼亿点 &#x1f468;‍&#x1f4bb; hallo 欢迎 点赞&#x1f44d; 收藏⭐ 留言&#x1f4dd; 加关注✅! &#x1f468;‍&#x1f4bb; 本文由 曼亿点 原创 &#x1f468;‍&#x1f4bb; 收录于专栏&#xff1a…

JavaScript使用高德API显示地图

前言 在JavaScript中&#xff0c;使用Leaflet库显示地图是一种常见的做法。Leaflet是一个开源的JavaScript库&#xff0c;用于在Web应用程序中创建互动地图。它非常轻量级&#xff0c;易于使用&#xff0c;并且提供了多种功能&#xff0c;使开发者能够轻松地将地图集成到他们的…

银行结算业务

1.1 银行本票 银行本票是由银行签发的,承诺自己在见票时无条件支付票款给收款人或持票人的业务。银行本票按票面划分为定额本票和不定额本票,按币种划分为人民币银行本票和外币银行本票。人民币银行本票仅在同一交换区域内使用,资金清算利用当地人民银行组织的资金清算形式…

2024 年高教社杯全国大学生数学建模竞赛 C 题 农作物的种植策略(可视化代码)

持续更新中,2024年数学建模比赛思路代码论文都会发布到专栏内,只需订阅一次! 完整论文+代码+数据结果链接在文末! 订阅后可查看代码文件 1、描述性统计分析 import pandas as pd import numpy as np import matplotlib.pyplot as plt import seaborn as sns from scipy…

用SpringBoot API实现识别pdf文件是否含有表格

要使用Spring Boot API 实现一个识别 PDF 文件是否含有表格的功能&#xff0c;你可以结合 PDF 解析库&#xff08;如 Apache PDFBox&#xff09;来解析 PDF 文件内容&#xff0c;并通过分析文本或线条来判断 PDF 是否包含表格。然后使用 Spring Boot 提供的 REST API 来实现上传…

Windows——不利用任何软件,打开局域网服务器的文件夹方法

第一步&#xff1a; windows 键 R 键&#xff0c;打开左下角运行窗口 第二步&#xff1a; \\ip地址

Android14音频进阶之定制ramdisk文件系统init服务(八十三)

简介: CSDN博客专家、《Android系统多媒体进阶实战》一书作者 新书发布:《Android系统多媒体进阶实战》🚀 优质专栏: Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏: 多媒体系统工程师系列【原创干货持续更新中……】🚀 优质视频课程:AAOS车载系统+…

Three 渲染器(二)

WebGL1Renderer 构造函数 WebGL1Renderer( parameters : Object ) Creates a new WebGL1Renderer. 属性 See the base WebGLRenderer class for common properties. 方法 See the base WebGLRenderer class for common methods. WebGLRenderTarget render target是一个…

vite+vue3+typescript+elementPlus前端实现电子证书查询系统

实现背景&#xff1a;之前电子证书的实现是后端实现的&#xff0c;主要采用GD库技术&#xff0c;在底图上添加文字水印和图片水印实现的。这里采用前端技术实现电子证书的呈现以及点击证书下载&#xff0c;优点是&#xff1a;后端给前端传递的是一组数据&#xff0c;不需要传证…