※ 引述《Derix (PalaPala)》之铭言： : 在下为js新手，想请问各位前辈些许问题... 也许可以说一下你试了哪些方法 : 1.是否可能使用js开启新页面後，接着自动在该新页面执行指定的js函式？ : 如：在A页面的网址执行javascript:window.open('B.html');後，接着自动在B页面执 : 行其他script如alert('HI');呢（并非在B页面写入alert函式）？ 不同网域的话 a抓不到 b.window 但记得 b可以透过 window.opener抓到 a.window : 2.在A页面执行，从B网域得到的xmlhttprequest.responsetext的script内容，因为same : origin policy的关系，不能直接eval使用，那是否有其他方法可以间接执行该script : 呢？ : 3.承问题2，如果有的话，是否就代表该same origin policy事实上是不够完备的？ : 4.在HTML里，嵌入<script src = "http://xxx.xx/A.js">的动作可以跨网域取得A.js的 : script执行，那为何还需要same origin policy来防止XSS的攻击呢？ 你的 4就是 2的答案 至於 3....提供 js档的网站通常等於默许让所有人都可以抓这个档案， 感觉浏览器没有挡的理由…真的要阻挡也是提供 js档 server挡。 你的 2.3.4让我觉得你可以 google "jsonp" : 感谢指点迷津的各位大大们，如果小的观念错误的话，还希望不吝给小的指导！ : 谢谢Orz --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 123.193.137.202