跨域策略是否限制从同一域名的不同协议下载？

Question

跨域策略限制从其他域下载内容：

  http://mysiteA.com   <--NO-->   http://myothersite.com

但是，是否允许通过不同的协议从相同的域下载，以及它可以在日常web浏览器中工作(有人可以测试)吗？

  http://mysite.com    <--?-->    https://mysite.com

Answer 1

所以你很困惑。这不是XSS，而是跨域访问- XSS是一个安全漏洞，您可以将用户输入回显到HTML页面中，而不对其进行编码。

您所询问的是跨域访问，可能来自Ajax，但也可能来自Silverlight或Flash。

如果是这样，答案是否定的，因为协议不同，一个站点有HTTP，一个站点有HTTPS。您只能访问协议、域名和网络端口都匹配的资源。

Answer 2

是(对于标题中的问题)，根据wikipedia's对同源策略的解释：

术语“源”是使用运行脚本的

文档的域名、应用层协议和(在大多数浏览器中) TCP来定义的。当且仅当所有这些值完全相同时，才将两个资源视为同源。

例如，http://foo.bar和https://foo.bar不是“同源”。