假设我的网站上的Javascript在localStorage
中具有这样的数据:
<script>
localStorage['my_website'] = "https://my_website.com";
</script>
<script type="text/javascript" src="https://bad_website.com/bad.js"></script>
另一个站点的bad.js
可以读写localStorage['my_website']
。这让我感到非常惊讶,因为我认为same-origin policy由每个浏览器自动执行。我完全想念什么吗?
如果bad.js
可以更改Javascript的业务逻辑,这是否意味着您的网站投放的广告可以更改网站的许多部分?
无论如何,您能对此问题发表评论吗?我需要做些什么来防止跨域访问吗?
谢谢。