Почему та же политика источника для XMLHttpRequest
Да, если это - RegEx-механизм.NET. механизм.Net поддерживает конечный автомат, предоставленный внешним стеком. см. детали
1 ответ
Поскольку XMLHttpRequest передает токены аутентификации пользователя. Если пользователь вошел на example.com с базовой аутентификацией или некоторыми файлами cookie, а затем посетил attacker.com, последний сайт мог бы создать XMLHttpRequest для example.com с полной авторизацией для этого пользователя и прочитать любую частную страницу, которую пользователь мог (тогда переслать его злоумышленнику).
Поскольку размещение секретных токенов на страницах веб-приложений - это способ остановить простые атаки межсайтового запроса-подделки, это означает, что attacker.com может выполнять любые действия на странице, которые пользователь может, например .com без какого-либо согласия или взаимодействия с ними. Global XMLHttpRequest - это глобальный межсайтовый скриптинг.
(Даже если у вас была версия XMLHttpRequest, которая не прошла аутентификацию, проблемы все равно остаются. Например, злоумышленник может делать запросы к другим частным машинам в вашей интрасети и читать любые файлы, которые он может загрузить с них, которые могут быть не предназначены для общего пользования. Теги