通過script editor指令碼除錯觀察到的一些特性,不分先後胡亂列一通:
1、跨域可以讀取屬性名/全域性變數名
2、屬性的粒度是到讀寫的,比如location物件的屬性,可以跨域寫,但是不可以跨域讀
3、操作符也是有許可權控制的,比如location物件可以使用操作符!=、==,但是沒有辦法使用=
4、null和undefined狀態是可讀的
5、length是可讀的
6、許可權限制錯誤有兩種提示,一是「拒絕訪問」,一是「沒有許可權」;我猜測「拒絕訪問」是沒有讀寫許可權,「沒有許可權」是僅有讀或者寫許可權
7、 window.frames[i]取得的是frame的contentwindow物件,document.getelementsbytagname("iframe")[i]取得是iframe元素物件,所以後者需要使用.contentwindow來獲取frame的window物件
可能以上某乙個單獨的特性並不能獲取多少資訊,但是組合起來有可能獲取更多的有用資訊:)
關於跨域的一些實驗結論
最近要做開發乙個sso框架,中間涉及到跨域設定cookie的問題,順便對一些知識點進行了實驗和確認。本來這都是一些基本的知識點,可是發現網上很多資料雜亂無章而且錯誤百出,有的錯誤文章竟然被轉來轉去,搞的我越看越糊塗。乾脆做個實驗來逐個測試我自己提出的問題。第乙個 cookie的setdomain屬性...
關於跨域的問題一些見解
cors是乙個w3c標準,全稱是 跨域資源共享 cross origin resource sharing cors需要伺服器端配合才能完成跨域資源請求。1.普通請求瀏覽器會直接傳送1次請求 1 如果伺服器端允許當前請求源訪問,則響應頭會返回access control allow origin欄位...
對於ajax跨域請求的一些相關知識
響應頭部access control allow origin 第二個頭部貌似不重要,主要是如果是ajax請求就要設定接收的頭部 route rule index upload index index upload index header access control allow origin h...