来自: https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one
origin from getting or setting properties of a document from another origin.
This policy dates all the way back to Netscape Navigator 2.0.
那么为什么不执行相同的原始策略?,当有一个像这样的脚本标记时:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
我错过了'm sure I',我读过了
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
一堆但无法弄清楚......
3 回答
HTML可以从任何地方加载,它是在页面上运行的另一个无法从另一个来源获取文档的 script .
<script>
标签是此规则的一个例外 . 允许页面来自另一台服务器的脚本,这被认为是正常的 .(互联网的整体经济 - 页面广告 - 基于这种允许!虽然它确实代表了安全风险,但它不会很快改变 . )
脚本不是文档 . 它们在包含
<script>
元素的文档的上下文中运行 .