摘要:同源策略解釋之前,我們先簡單聊聊同源策略����。當這些從第三方加載的腳本執行出錯��,因為違背了同源策略為了保證用戶信息不被泄露,錯誤信息不會顯示出來����,取而代之只會返回一個�����。
一些用戶向我們反饋,Fundebug的JavaScript監控插件抓到了很多Script error.,然后行號和列號都是0...這就很尷尬了�����。
今天,我們來詳細地解析一下Script error.�,后續我們還會深度測試并且提供解決方法�。
同源策略 (Same origin policy)
解釋Script error.之前�����,我們先簡單聊聊同源策略。摘自MDN - Same-origin policy:
Two pages have the same origin if the protocol, port (if one is specified), and host are the same for both pages.
所謂同源,就是指兩個頁面具有相同的協議�、端口和主機(域名)���。通過第三方加載的JavaScript腳本是不同源的��。下面的表格簡單列出了和https://fundebug.com/app.js是否同源的文件:
| 網址 |
是否同源 |
原因 |
| https://fundebug.com/vendor.js |
是 |
|
| http://fundebug.com/vendor.js |
否 |
協議不同 |
| https://fundebug.com:8001/app.js |
否 |
端口不同 |
| https://docs.fundebug.com/nav.js |
否 |
子域名不同 |
| https://kiwenlau.com/totop.js |
否 |
域名不同 |
沒有同源策略的話,將會怎樣�?摘自同源策略詳解及繞過 - FreeBuf:
假設你已經成功登錄Gmail服務器�����,同時在同一個瀏覽器訪問惡意站點(另一個瀏覽器選項卡)。沒有同源策略��,攻擊者可以通過JavaScript獲取你的郵件以及其他敏感信息���,比如說閱讀你的私密郵件����,發送虛假郵件,看你的聊天記錄等等。 如果將Gmail替換為你的銀行帳戶,問題就大條了�。
為啥出現Script error. ?
為了提升網站的訪問速度���,我們通常都會將靜態資源文件(css, image, javascript)放在第三方CDN����。當這些從第三方加載的JavaScript腳本執行出錯���,因為違背了同源策略, 為了保證用戶信息不被泄露��,錯誤信息不會顯示出來���,取而代之只會返回一個Script error.���。
暴露錯誤信息會怎樣呢?摘自(Cryptic “Script Error.” reported in Javascript in Chrome and Firefox):
假想你不小心訪問了一個惡意網站,網頁里面偷偷放入了一段JavaScript腳本
