浏览器/JavaScript同源策略如何适用于二级域名？

Question

我有一些 JavaScript 在同一域上的两个独立服务器之间共享请求。

JavaScript 中的域是否需要 .com？

在这种情况下，两台服务器都位于 .abc.tyy 域上，tyy 通常是 .com

想知道我是否只能使用 .com 作为该域？我收到权限被拒绝错误，但此代码在同一域（.com）上的其他单独服务器上运行良好。

更新： 这正是我使用它的方式：

123.abc.tyy 有一个加载我想要访问的属性的脚本。

123.abc.tyy 上的脚本在打开脚本标记处将 document.domain 设置为“abc.tyy”。

当我从 234.abc.tyy 调用 123.abc.tyy 脚本中的“getUser()”函数时，出现权限被拒绝错误。

我调用“getUser()”的方式是： 我在浏览器中访问 http://123.abc.tyy，该网站允许我指定 URL加载到它的其中一个框架中。我将该 URL 指向 http://234.abc.tyy/BeginLoadPatient.aspx"该页面我正在执行以下操作：

window.location = 'http://234.abc。 tyy/LoadPatient.aspx?PatientId=' + getUser() '; getUser 是源自 123.abc.tyy 的函数

如果我将 234.abc.tyy 和 123.abc.tyy 添加到我的受信任站点，一切正常 - 这是跳过同源策略吗？

Answer 1

不，SOP 不关心域是什么，只关心它代表相同的起源。 （您是否在某处硬编码了 .com 域？）

请注意，需要考虑的不仅仅是域。 同源策略将协议、端口和主机视为出色地。因此，aaa.abc.tyy 和 bbb.abc.tyy 是不同的来源。

如果您可以控制所涉及的服务器，则可以查看跨源资源共享，但不幸的是 CORS 仅在现代浏览器中实现（并且在支持它的 IE 版本上，仅当您显式使用它时才支持）。

当然，另一个选择是 JSON-P，它具有交叉工作的优点- 现在的浏览器。

另一件需要注意的是 document.domain，详细信息此处< /a> 和此处。

---

编辑后更新：

123.abc.tyy 上的脚本位于打开脚本标记处，将 document.domain 设置为“abc.tyy”。

当我从 234.abc.tyy 调用 123.abc.tyy 脚本中的“getUser()”函数时，出现权限被拒绝的错误。

您还需要在 BeginLoadPatient.aspx 中将 document.domain 设置为“abc.tyy”。

如果我将 234.abc.tyy 和 123.abc.tyy 添加到我的受信任站点，一切正常 - 这是否会跳过同源策略？

我一点也不感到惊讶（尽管对我来说这会很狡猾），但我对此没有第一手的了解。会很容易测试。