script中的src
<script src="http://www.somewhere.com/afile.js"></script>
浏览器在解析这个资源时,会向 src 属性指定的路径发送一个 GET 请求,以取得相应资源,假定
是一个 JavaScript 文件。这个初始的请求不受浏览器同源策略限制,但返回并被执行的 JavaScript 则受限制。
当然,这个请求仍然受父页面 HTTP/HTTPS 协议的限制。
这段话主要涉及到同源策略(Same-Origin Policy)和跨源资源共享(CORS)在浏览器中的应用。以下是对这段话的逐步解释:
同源策略
同源策略是一种安全机制,旨在防止一个网站的脚本与另一个网站的内容进行交互
同源(Same-Origin)是指两个 URL 具有相同的协议、域名和端口。只有在以下这三个条件都相同的情况下,浏览器才会认为这两个 URL 是同源的。这是为了确保安全性,防止恶意网站通过脚本访问另一个网站的内容。
1.协议(如 HTTP 或 HTTPS)
2.域名(如 example.com)
3.端口(如 :80 或 :443)
--------------------------------------------------------------------------------
请求不受同源策略限制
这意味着某些请求(例如,向第三方 API 发送请求)可以成功发送,即使它们不符合同源策略。这通常适用于以下情况:
- JSONP: 通过 <script> 标签请求数据,通常不受同源策略限制。
- 某些类型的请求: 比如使用 iframe 等方式加载外部内容。
返回的 JavaScript 受同源策略限制
一旦请求的响应是 JavaScript 代码并被执行,浏览器会检查该 JavaScript 是否符合同源策略。如果不符合,则会限制该脚本的执行,确保防止潜在的安全风险。
浏览器如何检查 JavaScript 是否符合同源策略主要依赖于以下几个方面:
1. 请求的来源
当网页发送请求(如通过 <script> 标签、AJAX 或 Fetch API)时,浏览器会记录该请求的来源(即发起请求的页面的协议、域名和端口)。
2. 响应的来源
当接收到响应(例如,一个 JavaScript 文件)时,浏览器会检查响应中包含的内容是否来自同源。如果响应是一个脚本,浏览器会比较该脚本的来源与请求页面的来源。
3. 执行环境
- 脚本标签: 当使用 <script> 标签加载外部 JavaScript 文件时,浏览器会在加载该文件前检查其来源。如果文件的 URL 不符合同源策略,浏览器会阻止该脚本的执行。
- CORS
- : 对于通过 XMLHttpRequest 或 Fetch API 进行的请求,允许跨源请求的方式是通过设置 CORS(跨源资源共享)头来实现的。服务器需要在响应中包含特定的 CORS 头(如 Access-Control-Allow-Origin)来指示哪些源可以访问其资源。
4. 安全策略
- Content Security Policy (CSP): CSP 是一种额外的安全层,可以帮助防止跨站脚本(XSS)攻击。如果网站设置了 CSP,浏览器会根据策略限制哪些源的脚本可以执行。
5. 错误处理
如果脚本的来源不符合同源策略,浏览器通常会在控制台提供错误信息,指示脚本无法被执行。例如,可能会出现类似“跨源访问被阻止”的错误。
总结
浏览器通过记录请求和响应的来源、比较它们的协议、域名和端口来检查 JavaScript 是否符合同源策略。如果不符,浏览器将限制该脚本的执行,从而保护用户的安全。
HTTP/HTTPS 协议的限制
即使请求本身不受同源策略的限制,仍然需要遵循原页面的 HTTP 或 HTTPS 协议。例如:
- 如果父页面使用 HTTPS,尝试通过 HTTP 加载资源可能会被浏览器阻止。为了安全,混合内容(HTTP 和 HTTPS 的结合)通常是被禁用的。