Ограничивают ли междоменные политики загрузку с разных протоколов для одного и того же домена?

Question

Междоменные политики ограничивают загрузку контента с другого домена:

  http://mysiteA.com   <--NO-->   http://myothersite.com

Но разрешена ли загрузка из того же домена по другому протоколу и сработает ли это (может кто-то протестировать) в обычных веб-браузерах?

  http://mysite.com    <--?-->    https://mysite.com

Answer 1

Да (к вопросу в названии), за объяснение "1002 *" википедии "политики одного и того же происхождения":

Термин «происхождение» определяется с использованием имени домена, протокола прикладного уровня и (в большинство браузеров) TCP-порт документа HTML, на котором выполняется скрипт. Два ресурса считается, что они имеют одинаковое происхождение, если и только если все эти значения абсолютно одинаковы.

поэтому http://foo.bar и https://foo.bar равны , а не"одного и того же происхождения", например.

Answer 2

Так что вы в замешательстве. Это не XSS, а междоменный доступ - XSS - это уязвимость системы безопасности, когда вы возвращаете пользовательский ввод обратно в HTML-страницу без ее кодирования.

То, о чем вы спрашиваете, - это междоменный доступ, предположительно из Ajax, но, возможно, из Silverlight или Flash.

Если это так, ответ - нет, поскольку протокол отличается, у одного сайта есть HTTP, у другого - HTTPS. Доступ к ресурсам возможен только в тех случаях, когда протокол, имя домена и сетевой порт ВСЕ совпадают.