现在一个标准的web浏览器都拥有同源策略,如果H5+的app的跨域功能是因为没有同源策略,是否可以说H5+app是一个不安全的web浏览器?
xdhgjdsjdcgrdh
- 发布:2016-01-08 01:36
- 更新:2016-03-02 18:08
- 阅读:2052
5 个回复
gmxyb
h5app里面加载的页面都是你自己写的,你非要载入别人写的页面能怪谁呢。。
再说了,那h5还可以访问本地资源呢!那岂不是更不安全了?!你就应该把它看作是常规的本地app,而不是一个浏览器。
chender - 与人为善
如果你的webview中是加载的本地的网页,是没有跨域的问题的;
如果你的webview中加载的是服务端的网页,就有跨域的问题了;
maq
既然是 app,设计上就要小心,比如打开一个外部网页的时候就要慎重。有些情况容易忽略,比如你的 app 能够打开你自己的官网,看上去好像安全,但如果你的网站有论坛功能,别人发帖可以带链接,问题就很严重了,用户不小心点击跳到恶意网页,里面的 js 调用 plus,就为所欲为了。
maq
换一个角度说,【同源策略】作为一项安全策略,作用在于【保护其它网站的内容不被恶意使用】,是【防止当前网站作恶】。
作为一个 app 的开发者,你就是【当前网站】的作者,所要关心的安全问题重点不在于【没有同源策略会有什么安全问题】,而应该是【如何确保加载的网页内容是可信的】。
rufeng
跨域问题 用jsonp就可以实现 js有同源策略自己实现不了 你不能从宏观上说H5app可以跨域 这句话是有问题的 他是利用一些方法实现的跨域 例如用jsonp实现跨域 你知道调用地图它不是也是去访问别人的数据吗 你可以好好了解了解跨域 网上好多类似的资源
chender
在h5中的本地html中,原生的ajax是可以跨域的
2016-03-02 19:54