도메인 간 정책은 다른 도메인에서 콘텐츠를 다운로드하는 것을 제한합니다.도메인 간 정책이 동일한 도메인의 다른 프로토콜에서의 다운로드를 제한합니까?
http://mysiteA.com <--NO--> http://myothersite.com
그러나 다른 프로토콜을 통해 동일한 도메인에서 다운로드하고 있으며 일상적인 웹 브라우저에서 작동합니까?
http://mysite.com <--?--> https://mysite.com
도메인 간 정책은 다른 도메인에서 콘텐츠를 다운로드하는 것을 제한합니다.도메인 간 정책이 동일한 도메인의 다른 프로토콜에서의 다운로드를 제한합니까?
http://mysiteA.com <--NO--> http://myothersite.com
그러나 다른 프로토콜을 통해 동일한 도메인에서 다운로드하고 있으며 일상적인 웹 브라우저에서 작동합니까?
http://mysite.com <--?--> https://mysite.com
그래서 혼란스러워합니다. 이것은 XSS가 아니라 상호 도메인 액세스입니다. XSS는 사용자 입력을 인코딩하지 않고 다시 HTML 페이지로 반향시키는 보안 취약점입니다.
아마도 Ajax가 아닌 Silverlight 또는 Flash에서 교차 도메인 액세스를 요청할 것입니다.
응답이 아니오 인 경우 프로토콜이 다르므로 한 사이트에 HTTP가 있고 한 사이트에 HTTPS가 있습니다. 프로토콜, 도메인 이름 및 네트워크 포트 ALL이 일치하는 리소스에만 액세스 할 수 있습니다.
예 (제목에 질문에), "동일 출처 정책"의 wikipedia's 설명 당 :
"기원"이 도메인 이름을 사용하여 정의 된 용어, 응용 프로그램 계층 프로토콜, 대부분의 브라우저에서는 입니다. 스크립트를 실행하는 HTML 문서의 TCP 포트입니다. 두 자원은 이며 모든 값이 정확히 동일한 경우에만 동일한 출처로 간주됩니다.
그래서 http://foo.bar 및 https://foo.bar 예를 들어, 하지 "같은 기원"입니다.
해명 해줘서 고마워,하지만 난 여전히 같은 도메인의 다른 프로토콜에서 뭔가를 (JS를 통해) 다운로드를 시도하여 FF와 IE와 같은 좋은 브라우저에서 있는지 여부를 확인하는 사람이 맘에 들어요. –
두 도메인 (HTTP 및 HTTPS)을 모두 제어 할 수 있다면 크로스 프로토콜 정책 파일이나 구성을 추가하여 크로스 프로토콜을로드 할 수 있습니까? –
직접 할 수 없습니까? 글쎄, 내 책에 RIA 장을 쓰고, 모든 주요 브라우저, IE, 모질라, 사파리, 쵸메 및 오페라에서 허용되지 않는 것을 믿을 때 나는 그것을했다. – blowdart