※ 引述《Derix (PalaPala)》之銘言： : 在下為js新手，想請問各位前輩些許問題... 也許可以說一下你試了哪些方法 : 1.是否可能使用js開啟新頁面後，接著自動在該新頁面執行指定的js函式？ : 如：在A頁面的網址執行javascript:window.open('B.html');後，接著自動在B頁面執 : 行其他script如alert('HI');呢（並非在B頁面寫入alert函式）？ 不同網域的話 a抓不到 b.window 但記得 b可以透過 window.opener抓到 a.window : 2.在A頁面執行，從B網域得到的xmlhttprequest.responsetext的script內容，因為same : origin policy的關係，不能直接eval使用，那是否有其他方法可以間接執行該script : 呢？ : 3.承問題2，如果有的話，是否就代表該same origin policy事實上是不夠完備的？ : 4.在HTML裡，嵌入<script src = "http://xxx.xx/A.js">的動作可以跨網域取得A.js的 : script執行，那為何還需要same origin policy來防止XSS的攻擊呢？ 你的 4就是 2的答案 至於 3....提供 js檔的網站通常等於默許讓所有人都可以抓這個檔案， 感覺瀏覽器沒有擋的理由…真的要阻擋也是提供 js檔 server擋。 你的 2.3.4讓我覺得你可以 google "jsonp" : 感謝指點迷津的各位大大們，如果小的觀念錯誤的話，還希望不吝給小的指導！ : 謝謝Orz -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.193.137.202