上篇文章(http://evilcos.me/?p=251)提到了跨子域安全问题,这已经是一些互联网大公司的宿命?我真想知道是哪位前端工程师或架构师将这种为了便利而滥用跨子域技巧的思想带到本该分离的业务里?这样埋下的种子总有一天会变成雷。这个技巧最常见的有两种模式:
1. 人人网那样,几乎所有子域都嵌入一段通用脚本,设置document.domain=”renren.com”;
2. 大多数网站(腾讯、百度、新浪等等)的做法:子域的某路径下有个ajaxproxy.htm或proxy.html等类似文件名的文件,里面的代码是: