クロスドメインポリシー別のドメインからダウンロードしたコンテンツを制限します。クロスドメインポリシーは、同じドメインの異なるプロトコルからのダウンロードを制限しますか?
http://mysiteA.com <--NO--> http://myothersite.com
しかし許さ異なるプロトコルを介して、同じドメインからダウンロードされ、それが日常のWebブラウザで(できる人のテストを)うまくいきますか?
http://mysite.com <--?--> https://mysite.com
あなたは混乱しています。これはXSSではなくクロスドメインアクセスです.XSSは、ユーザー入力をエンコードしないでHTMLページに戻してしまうセキュリティ上の脆弱性です。
おそらく、おそらくAjaxからのクロスドメインアクセスですが、おそらくSilverlightやFlashからのものです。
答えが「いいえ」の場合、プロトコルが異なるため、1つのサイトにHTTPがあり、1つのサイトにHTTPSがあります。プロトコル、ドメイン名、およびネットワークポートALLが一致するリソースにのみアクセスできます。
はい(タイトルに質問する)、「同一生成元ポリシー」のwikipedia's説明あたり:
「原点」のドメイン名を使用して定義された用語、アプリケーション層プロトコル、 (ほとんどのブラウザでは )スクリプトを実行しているHTMLドキュメントのTCPポート。 2つのリソースは、 が、これらの値がまったく同じ場合に限り、同じ起点とみなされます。
のでhttp://foo.barとhttps://foo.barは例えば、ない "同じ起源" です。
清算していただきありがとうございますが、私はまだ同じドメイン上の別のプロトコルから(JS経由で)何かをダウンロードしようとすると、これがFFやIEのような良いブラウザであるかどうかを確認する方が好きです。 –
両方のドメイン(HTTPとHTTPS)を管理している場合、クロスドメインポリシーファイルまたは設定を追加して、クロスプロトコルをロードできるようにすることはできますか? –
これは自分でできませんか?私の本にRIAの章を書いていて、大手のブラウザ、IE、Mozilla、Safari、Chome、Operaすべてで許可されていないと私は信じています。 – blowdart