[html] script的crossorigin屬性

1. 同源策略

如果兩個(gè)頁面的協(xié)議结榄,端口域名都相同杖虾,則兩個(gè)頁面具有相同的(origin)流昏。

The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin.

同源策略是一種安全機(jī)制冀偶,它限制了非同源腳本之間的交互方式
例如淮椰,在使用XMLHttpRequest<img> 標(biāo)簽時(shí)五慈,會(huì)受到同源策略的約束纳寂。

這些交互通常分為三類:
(1)通常允許跨域?qū)懖僮鳎–ross-origin writes)主穗。例如鏈接(links),重定向以及表單提交毙芜。
(2)通常允許跨域資源嵌入(Cross-origin embedding)忽媒。
(3)通常不允許跨域讀操作(Cross-origin reads)。但骋钢啵可以通過內(nèi)嵌資源來巧妙的進(jìn)行讀取訪問晦雨。
例如,可以讀取嵌入圖片的高度和寬度隘冲,調(diào)用內(nèi)嵌腳本的方法闹瞧,或 availability of an embedded resource

以下是可能嵌入跨域的資源的一些示例:
(1)<script src="..."></script> 標(biāo)簽嵌入跨域腳本展辞。語法錯(cuò)誤信息只能在同源腳本中捕捉到奥邮。
(2)<link rel="stylesheet" href="..."> 標(biāo)簽嵌入CSS。
(3)<img>嵌入圖片。支持的圖片格式包括PNG,JPEG,GIF,BMP,SVG,...
(4)<video><audio>嵌入多媒體資源洽腺。
(5)<object>, <embed><applet> 的插件脚粟。
(6)@font-face引入的字體。一些瀏覽器允許跨域字體( cross-origin fonts)蘸朋,一些需要同源字體(same-origin fonts)核无。
(7)<frame><iframe> 載入的任何資源。站點(diǎn)可以使用X-Frame-Options消息頭來阻止這種形式的跨域交互藕坯。

2. 跨域資源共享

跨域資源共享 Cross-Origin Resource Sharing (CORS)团南,通過在服務(wù)器端設(shè)置 Access-Control-Allow-Origin 響應(yīng)頭,
允許瀏覽器發(fā)起跨域請(qǐng)求炼彪,例如已慢,跨域 XMLHttpRequestFetch 請(qǐng)求霹购。

Access-Control-Allow-Origin 的值為發(fā)起跨域請(qǐng)求的那個(gè)域名佑惠,表示允許這個(gè)域名的網(wǎng)頁訪問當(dāng)前資源。
服務(wù)器端可以通過請(qǐng)求頭中的 Origin 字段齐疙,來判斷某個(gè)請(qǐng)求是否跨域請(qǐng)求膜楷。

3. onerror信息

服務(wù)器端如果沒有設(shè)置 CORS
普通的跨域<script>標(biāo)簽贞奋,將只向window.onerror反饋盡量少的內(nèi)容赌厅。

window.onerror = (...args) => console.log(args);  // ["Script error.", "", 0, 0, null]

<script>標(biāo)簽添加 crossorigin 屬性,
并在服務(wù)器端設(shè)置 Access-Control-Allow-Origin 響應(yīng)頭轿塔,允許腳本被跨域訪問特愿,
就可以在window.onerror中獲取更詳細(xì)的日志信息。

[
    "Uncaught ReferenceError: a is not defined", 
    "http://127.0.0.1:8081/index.js", 
    1, 
    1, 
    ReferenceError: a is not defined
        at http://127.0.0.1:8081/index.js:1:1]

注:
普通<script>標(biāo)簽是可以加載跨域腳本的勾缭,
但如果給跨域<script>標(biāo)簽添加了crossorigin屬性揍障,
(且服務(wù)器端沒有設(shè)置Access-Control-Allow-Origin 響應(yīng)頭),
就會(huì)出現(xiàn)以下錯(cuò)誤俩由,

Access to Script at 'http://127.0.0.1:8081/index.js' from origin 'http://127.0.0.1:8080' has been blocked by CORS policy: 
No 'Access-Control-Allow-Origin' header is present on the requested resource. 
Origin 'http://127.0.0.1:8080' is therefore not allowed access.

示例代碼:
(1)在./test-cors1/ 文件夾下啟動(dòng)靜態(tài)網(wǎng)站毒嫡,監(jiān)聽8080端口

<!-- ./test-cors1/index.html -->
<script crossorigin src="http://127.0.0.1:8081/index.js"></script>

(2)在./test-cors2/ 文件夾下啟動(dòng)靜態(tài)網(wǎng)站,監(jiān)聽8081端口

// ./test-cors2/index.js
a;

4. crossorigin屬性

crossorigin 屬性不止可以用于<script>標(biāo)簽幻梯,還可以用與<img>兜畸,<video>等標(biāo)簽,
用于配置 CORS 的請(qǐng)求數(shù)據(jù)碘梢,見下表咬摇,

Keyword State Request Mode Credentials Mode
the attribute is omitted No CORS "no-cors" "omit"
"" Anonymous "cors" "same-origin"
"anonymous" Anonymous "cors" "same-origin"
"use-credentials" Use Credentials "cors" "include"

不同的crossorigin值,指定了不同的Request ModeCredentials Mode煞躬。

其中肛鹏,術(shù)語use credentials指的是,cookies,http authentication 和客戶端ssl證書龄坪。

The term user credentials for the purposes of this specification means cookies, HTTP authentication, and client-side SSL certificates that would be sent based on the user agent's previous interactions with the origin. Specifically it does not refer to proxy authentication or the Origin header.

參考

MDN: Same-origin policy
MDN: Cross-Origin Resource Sharing (CORS)
MDN: script - crossorigin
MDN: The crossOrigin attribute
W3C HTML5: CORS settings attributes
W3C: CORS
Wikipedia: Cross-origin resource sharing

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末昭雌,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子健田,更是在濱河造成了極大的恐慌烛卧,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,591評(píng)論 6 501
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件妓局,死亡現(xiàn)場(chǎng)離奇詭異总放,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)好爬,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,448評(píng)論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門局雄,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人存炮,你說我怎么就攤上這事炬搭。” “怎么了穆桂?”我有些...
    開封第一講書人閱讀 162,823評(píng)論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵宫盔,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我享完,道長(zhǎng)灼芭,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,204評(píng)論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任般又,我火速辦了婚禮彼绷,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘茴迁。我一直安慰自己寄悯,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,228評(píng)論 6 388
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布笋熬。 她就那樣靜靜地躺著热某,像睡著了一般腻菇。 火紅的嫁衣襯著肌膚如雪胳螟。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,190評(píng)論 1 299
  • 城市分裂傳說
    那天筹吐,我揣著相機(jī)與錄音糖耸,去河邊找鬼。 笑死丘薛,一個(gè)胖子當(dāng)著我的面吹牛嘉竟,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 40,078評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼舍扰,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼倦蚪!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起边苹,我...
    開封第一講書人閱讀 38,923評(píng)論 0 274
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤陵且,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后个束,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體慕购,經(jīng)...
    沈念sama閱讀 45,334評(píng)論 1 310
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,550評(píng)論 2 333
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年茬底,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了沪悲。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,727評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡阱表,死狀恐怖殿如,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情最爬,我是刑警寧澤握截,帶...
    沈念sama閱讀 35,428評(píng)論 5 343
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站烂叔,受9級(jí)特大地震影響谨胞,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜蒜鸡,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,022評(píng)論 3 326
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一胯努、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧逢防,春花似錦叶沛、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,672評(píng)論 0 22
  • 一樁弒父案灰署,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至局嘁,卻和暖如春溉箕,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背悦昵。 一陣腳步聲響...
    開封第一講書人閱讀 32,826評(píng)論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工肴茄, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人但指。 一個(gè)月前我還...
    沈念sama閱讀 47,734評(píng)論 2 368
  • 代替公主和親
    正文 我出身青樓寡痰,卻偏偏與公主長(zhǎng)得像抗楔,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子拦坠,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,619評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容