摘要:同源策略解释之前,我们先简单聊聊同源策略。当这些从第三方加载的脚本执行出错,因为违背了同源策略为了保证用户信息不被泄露,错误信息不会显示出来,取而代之只会返回一个。
一些用户向我们反馈,Fundebug的JavaScript监控插件抓到了很多Script error.,然后行号和列号都是0...这就很尴尬了。
今天,我们来详细地解析一下Script error.,后续我们还会深度测试并且提供解决方法。
同源策略 (Same origin policy)解释Script error.之前,我们先简单聊聊同源策略。摘自MDN - Same-origin policy:
Two pages have the same origin if the protocol, port (if one is specified), and host are the same for both pages.
所谓同源,就是指两个页面具有相同的协议、端口和主机(域名)。通过第三方加载的JavaScript脚本是不同源的。下面的表格简单列出了和https://fundebug.com/app.js是否同源的文件:
| 网址 | 是否同源 | 原因 |
|---|---|---|
| https://fundebug.com/vendor.js | 是 | |
| http://fundebug.com/vendor.js | 否 | 协议不同 |
| https://fundebug.com:8001/app.js | 否 | 端口不同 |
| https://docs.fundebug.com/nav.js | 否 | 子域名不同 |
| https://kiwenlau.com/totop.js | 否 | 域名不同 |
没有同源策略的话,将会怎样?摘自同源策略详解及绕过 - FreeBuf:
为啥出现Script error. ?假设你已经成功登录Gmail服务器,同时在同一个浏览器访问恶意站点(另一个浏览器选项卡)。没有同源策略,攻击者可以通过JavaScript获取你的邮件以及其他敏感信息,比如说阅读你的私密邮件,发送虚假邮件,看你的聊天记录等等。 如果将Gmail替换为你的银行帐户,问题就大条了。
为了提升网站的访问速度,我们通常都会将静态资源文件(css, image, javascript)放在第三方CDN。当这些从第三方加载的JavaScript脚本执行出错,因为违背了同源策略, 为了保证用户信息不被泄露,错误信息不会显示出来,取而代之只会返回一个Script error.。
暴露错误信息会怎样呢?摘自(Cryptic “Script Error.” reported in Javascript in Chrome and Firefox):
假想你不小心访问了一个恶意网站,网页里面偷偷放入了一段JavaScript脚本