Ответ 1
Поддомены считаются разными и не смогут Same Origin Policy, если оба поддомена не объявят одно и то же свойство document.domain DOM (и даже тогда разные браузеры ведут себя по-разному).
Являются ли вызовы AJAX для рассматриваемого поддомена Cross-Site Scripting?
У меня есть сервер A (www.example.com), отправляющий информацию на сервер B. У меня может быть только HTML/JS на сервере A (и нужно делать "хруст" на сервере B), поэтому я пытаюсь отправить формы данных через AJAX (попытка избежать сообщения формы на сервере B - не спрашивайте).
Очевидно, что для кросс-домена вызова AJAX считается XSS и большой нет-нет, но если бы я должен был поставить сервер B в субдомен (sub.example.com), это было бы хорошо? Как обнаруживаются междоменные ошибки? Поиск в браузере DNS-записей? IP-адрес?
Заранее благодарим за помощь.
Ответы
Ответ 2
Короткий ответ: Нет. См. Одинаковая политика происхождения
Вы можете сделать запрос XHR только на тот же хост, порт и протокол.
Если вы хотите сделать Ajax, не придерживаясь этого, вы можете посмотреть JSON-P.
(XSS - совершенно другой чайник рыбы, в котором сайт позволяет вводить в него данные (например, через URI), который обрабатывается как JS, позволяя третьим лицам направить людей на ваш сайт, в то время как они вошли в систему его, и украсть или отредактировать данные.)