политика Междоменные ограничивает загрузку контента из другого домена:Предоставляет ли междоменные политики ограничение загрузки из разных протоколов для одного домена?
http://mysiteA.com <--NO--> http://myothersite.com
Но загружается из того же домена через другой протокол позволил и она будет работать (может кто-то тест) в повседневных веб-браузеров?
http://mysite.com <--?--> https://mysite.com
Итак, вы смущены. Это не XSS, а междоменный доступ. XSS - это уязвимость системы безопасности, в которой вы эхо вводите пользовательский ввод обратно на HTML-страницу без ее кодирования.
О чем вы спрашиваете - это доступ к перекрестному домену, предположительно от Ajax, но, возможно, от Silverlight или Flash.
Если это так, то ответ отрицательный, поскольку протокол отличается, один сайт имеет HTTP, один сайт имеет HTTPS. Вы можете получать доступ только к ресурсам, где соответствуют протокол, имя домена и сетевой порт ALL.
Да (на вопрос в названии), за wikipedia's объяснения «тот же происхождения политики»:
Термин «происхождение» определяется с помощью доменного имени, протокол прикладного уровня, и (в большинстве браузеров) TCP-порт документа HTML, запускающего сценарий. Два ресурса: считается одним и тем же источником тогда и только тогда, когда все эти значения точно совпадают.
так http://foo.bar и https://foo.bar являются не "того же происхождения", к примеру.
Ah no. Обратите внимание на различия в протоколе, поэтому это не то же самое происхождение, поэтому оно не будет работать. – blowdart
@blowdart: вот что сказал Алекс. Я думаю, он ответил на вопрос в названии, а не на вопросе в тексте, который ставится с противоположного направления. –
Ах, правда, вопрос в заголовке и содержание вопроса задают разные вещи :) Извините alex! – blowdart
Спасибо за разъяснение, но мне все равно хотелось бы, чтобы кто-то подтвердил, так ли это в хороших браузерах, таких как FF и IE, пытаясь загрузить что-то (через JS) из другого протокола в том же домене. –
Что делать, если у меня есть контроль над обоими доменами (HTTP и HTTPS), могу ли я добавить файл или конфигурацию для нескольких доменов, чтобы разрешить загрузку кросс-протокола? –
Вы не можете сделать это самостоятельно? Ну, я сделал это, когда писал книгу RIA в своей книге и доверял мне, ее не разрешали во всех основных браузерах: IE, Mozilla, Safari, Chome и Opera. – blowdart