1. Zuhause
  2. Frage und Antwort
  3. Beschränken domänenübergreifende Richtlinien das Herunterladen von verschiedenen Protokollen für dieselbe Domäne?

Beschränken domänenübergreifende Richtlinien das Herunterladen von verschiedenen Protokollen für dieselbe Domäne?

2009-06-07 6 views
0

domänenübergreifende Politik schränkt das Herunterladen von Inhalten aus einer anderen Domäne:Beschränken domänenübergreifende Richtlinien das Herunterladen von verschiedenen Protokollen für dieselbe Domäne?

http://mysiteA.com <--NO--> http://myothersite.com

aber wird aus der gleichen Domäne über ein anderes Protokoll erlaubt das Herunterladen und würde es (kann jemand Test) in der täglichen Web-Browsern funktionieren?

http://mysite.com <--?--> https://mysite.com

Quelle

2009-06-07 Robin Rodricks

Antwort

1

Sie sind also verwirrt. Dies ist kein XSS, sondern domänenübergreifender Zugriff - XSS ist eine Sicherheitslücke, bei der Benutzereingaben in eine HTML-Seite zurückgesendet werden, ohne sie zu verschlüsseln.

Was Sie fragen, ist Cross-Domain-Zugriff, vermutlich von Ajax, aber vielleicht von Silverlight oder Flash.

Wenn dies so ist, ist die Antwort nein, weil das Protokoll unterschiedlich ist, eine Website hat HTTP, eine Website hat HTTPS. Sie können nur auf Ressourcen zugreifen, bei denen das Protokoll, der Domänenname und der Netzwerkport ALL übereinstimmen.

Quelle

2009-06-07 06:41:26 blowdart

+0

Danke für die Klarstellung, aber ich möchte immer noch, dass jemand bestätigt, ob dies in guten Browsern wie FF und IE der Fall ist, indem ich versuche, etwas (über JS) von einem anderen Protokoll auf derselben Domain herunterzuladen. –

+0

Was kann ich tun, wenn ich die Kontrolle über beide Domänen (HTTP und HTTPS) habe, kann ich eine domänenübergreifende Richtliniendatei oder Konfiguration hinzufügen, um das Laden protokollübergreifend zu ermöglichen? –

+1

Sie können das nicht selbst machen? Nun, ich habe es getan, als ich das RIA-Kapitel in meinem Buch geschrieben habe und mir vertrauen, es ist nicht erlaubt in allen gängigen Browsern, IE, Mozilla, Safari, Chome und Opera – blowdart

2

Ja (auf die Frage im Titel), pro wikipedia's Erklärung von "Same Origin Policy":

Der Begriff "Ursprung" definiert wird, um den Domain-Namen, Protokoll der Anwendungsschicht, und (in die meisten Browser) TCP-Port des HTML-Dokuments, das das Skript ausführt. Zwei Ressourcen sind , die genau dann als vom selben Ursprung betrachtet werden, wenn alle diese Werte genau gleich sind.

so http://foo.bar und https://foo.bar sind nicht "derselbe Ursprung", zum Beispiel.

Quelle

2009-06-07 06:39:26

+0

Ah nein. Beachten Sie die Protokollunterschiede, daher ist es nicht der gleiche Ursprung, also wird es nicht funktionieren. – blowdart

+0

@blowdart: das hat Alex gesagt. Ich denke, er hat die Frage im Titel beantwortet, und nicht die Frage im Text, die aus der entgegengesetzten Richtung gestellt wird. –

+0

Ah stimmt, die Titelfrage und der Frageinhalt stellen verschiedene Dinge vor :) Entschuldigung alex! – blowdart

 Verwandte Themen

  • Keine verwandten Themen^_^