8
Không sử dụng Google CDN để ngắt jquery quy tắc không sử dụng yêu cầu tên miền chéo trên trang web. Chúng tôi có tin tưởng Google đủ để làm điều này không?Tên miền chéo và google CDN cho jquery
A
Trả lời
9
Việc sử dụng thẻ tập lệnh từ trang web nước ngoài được cho phép trong chính trình duyệt. Bởi vì nó được cho là bạn có ý định tải chức năng này. Các tập lệnh được tải không thể giao tiếp trực tiếp với tên miền nước ngoài mặc dù (XHR cùng xuất xứ, ngoại trừ với CORS). Bây giờ, đây chính là lý do tại sao bạn không muốn cho phép đầu vào người dùng chưa được kiểm tra có thể tải tập lệnh từ một trang web nước ngoài. Có thể cho một kịch bản nước ngoài làm những việc bạn không muốn, nhưng nếu nó là từ một nguồn đáng tin cậy, nó sẽ ổn thôi.
Nếu google bị bắt bằng cách tiêm thông qua CDN, sẽ có phản ứng dữ dội, và tôi nghi ngờ nó sẽ xảy ra, và nếu có, sẽ được sửa chữa nhanh hơn nhiều so với khi bạn chú ý đến vấn đề.
2
Không, nó không vi phạm các quy tắc yêu cầu miền chéo. Khi bạn đưa jQuery từ CDN của Google, bạn chỉ cần đưa tài nguyên vào trang của mình (giống như liên kết đến hình ảnh). Điều này không rơi vào khái niệm bảo mật Same Origin Policy mà tôi cho rằng bạn giới thiệu, chủ yếu bao gồm các yêu cầu XHR (ajax).
+0
Cách tôi xem thẻ bao gồm
+1, tôi thực sự thích lời giải thích của bạn hơn. – karim79
Và, tất nhiên, nếu bạn không tin tưởng Google, bạn luôn có thể phục vụ nó từ CDN/cơ sở hạ tầng của riêng bạn. – mithrandi