| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| software:development:web:docs:web:security:same-origin_policy [2023/08/30 14:08] – [Доступ к сети из разных источников] vladpolskiy | software:development:web:docs:web:security:same-origin_policy [2023/08/30 14:27] (текущий) – [Доступ к API сценариев из разных источников] vladpolskiy |
|---|
| * Чтобы предотвратить встраивание из разных источников, убедитесь, что ваш ресурс не может быть интерпретирован как один из встраиваемых форматов, перечисленных выше. Браузеры могут не учитывать Content-Typeзаголовок. Например, если вы укажете ''<script>'' тег на HTML-документ, браузер попытается проанализировать HTML как JavaScript. Если ваш ресурс не является точкой входа на ваш сайт, вы также можете использовать токен CSRF для предотвращения внедрения. | * Чтобы предотвратить встраивание из разных источников, убедитесь, что ваш ресурс не может быть интерпретирован как один из встраиваемых форматов, перечисленных выше. Браузеры могут не учитывать Content-Typeзаголовок. Например, если вы укажете ''<script>'' тег на HTML-документ, браузер попытается проанализировать HTML как JavaScript. Если ваш ресурс не является точкой входа на ваш сайт, вы также можете использовать токен CSRF для предотвращения внедрения. |
| =====Доступ к API сценариев из разных источников===== | =====Доступ к API сценариев из разных источников===== |
| API JavaScript iframe.contentWindow, такие как window.parent, window.open, и window.openerпозволяют документам напрямую ссылаться друг на друга. Когда два документа имеют разное происхождение, эти ссылки обеспечивают очень ограниченный доступ к объектам Windowи Location, как описано в следующих двух разделах. | API JavaScript [[software:development:web:docs:Web:API:HTMLIFrameElement:contentWindow|iframe.contentWindow]], такие как [[software:development:web:docs:Web:API:Window:parent|window.parent]], [[software:development:web:docs:Web:API:Window:open|window.open]], и [[software:development:web:docs:Web:API:Window:opener|window.opener]] позволяют документам напрямую ссылаться друг на друга. Когда два документа имеют разное происхождение, эти ссылки обеспечивают очень ограниченный доступ к объектам [[software:development:web:docs:Web:API:Window|Window]] и [[software:development:web:docs:Web:API:Location|Location]], как описано в следующих двух разделах. |
| |
| Для связи между документами из разных источников используйте window.postMessage. | Для связи между документами из разных источников используйте [[software:development:web:docs:Web:API:Window:postMessage|window.postMessage]]. |
| |
| Спецификация: HTML Living Standard § Объекты перекрестного происхождения . | Спецификация: [[https://html.spec.whatwg.org/multipage/browsers.html#cross-origin-objects|HTML Living Standard § Объекты перекрестного происхождения]]. |
| |
| ====Window==== | ====Window==== |
| |
| Методы | Методы |
| * window.blur | * [[software:development:web:docs:Web:API:Window:blur|window.blur]] |
| * window.close | * [[software:development:web:docs:Web:API:Window:close|window.close]] |
| * window.focus | * [[software:development:web:docs:Web:API:Window:focus|window.focus]] |
| * window.postMessage | * [[software:development:web:docs:Web:API:Window:postMessage|window.postMessage]] |
| Атрибуты | |
| |window.closed |Только чтение.| | |Атрибуты || |
| |window.frames |Только чтение.| | |[[software:development:web:docs:Web:API:Window:closed|window.closed]] |Только чтение.| |
| |window.length |Только чтение.| | |[[software:development:web:docs:Web:API:Window:frames|window.frames]] |Только чтение.| |
| |window.location |Читай пиши.| | |[[software:development:web:docs:Web:API:Window:length|window.length]] |Только чтение.| |
| |window.opener |Только чтение.| | |[[software:development:web:docs:Web:API:Window:location|window.location]] |Читай пиши.| |
| |window.parent |Только чтение.| | |[[software:development:web:docs:Web:API:Window:opener|window.opener]] |Только чтение.| |
| |window.self |Только чтение.| | |[[software:development:web:docs:Web:API:Window:parent|window.parent]] |Только чтение.| |
| |window.top |Только чтение.| | |[[software:development:web:docs:Web:API:Window:self|window.self]] |Только чтение.| |
| |window.window |Только чтение.| | |[[software:development:web:docs:Web:API:Window:top|window.top]] |Только чтение.| |
| | |[[software:development:web:docs:Web:API:Window:window|window.window]] |Только чтение.| |
| Некоторые браузеры разрешают доступ к большему количеству свойств, чем указано выше. | Некоторые браузеры разрешают доступ к большему количеству свойств, чем указано выше. |
| |
| ====Расположение==== | ====Расположение==== |
| Разрешен следующий доступ к Locationсвойствам из разных источников: | Разрешен следующий доступ к Location свойствам из разных источников: |
| |
| Методы | Методы |
| * location.replace | * [[software:development:web:docs:Web:API:location:replace|location.replace]] |
| |Атрибуты|| | |Атрибуты|| |
| |location.href |Только запись.| | |[[software:development:web:docs:Web:API:location:href|location.href]] |Только запись.| |
| Некоторые браузеры разрешают доступ к большему количеству свойств, чем указано выше. | Некоторые браузеры разрешают доступ к большему количеству свойств, чем указано выше. |
| |
