HTML中JavaScript的引入与CORS介绍

HTML 中 JavaScript 的引入

    JavaScript作为一种流行的编程语言，经常被用来增强HTML网页的交互性。将JavaScript方法引入HTML的常用方式是使用<script>元素。<script>元素是一个非必需的HTML元素，它允许脚本代码直接嵌入HTML文档中，或者通过src属性指定外部脚本文件，实现对脚本代码的加载和执行。

    例如，以下代码演示了如何将一个简单的JavaScript函数引入HTML文档：

    ```html
    <!DOCTYPE html>
    <html>
    <head>
    
    </head>
    <body>
    <script>
    function greet() {
    alert("Hello, world!");
    }
    </script>
    <button onclick="greet()">点击我</button>
    </body>
    </html>
    ```

    在这个例子中，`<script>`元素包含了一个名为`greet`的JavaScript函数。当用户点击`<button>`元素时，`greet`函数就会被调用，并在浏览器中弹出一个警报窗口，显示出“Hello, world!”的信息。

    ## crossorigin 属性
    
    在使用`<script>`元素引入外部脚本文件时，存在一个潜在的安全问题：跨域脚本攻击（XSS）。XSS攻击是指攻击者利用脚本代码的漏洞，将恶意脚本代码注入到合法网站中，从而控制受害者的浏览器并窃取其敏感信息。

    为了防止XSS攻击，HTML5引入了crossorigin属性。该属性允许开发者配置相关请求的CORS（跨域资源共享）设置，从而控制浏览器对跨域脚本文件的处理方式。

    ### 1. 默认配置
    
    crossorigin属性的默认配置是`不使用CORS`。这意味着，如果`<script>`元素的src属性指向一个跨域的脚本文件，浏览器将直接加载该脚本文件，而不会进行任何安全检查。

    这种默认配置虽然简单方便，但存在一定的安全风险。例如，如果攻击者在跨域的脚本文件中植入了恶意代码，那么该恶意代码可能会在受害者的浏览器中被执行，从而造成安全隐患。

    ### 2. anonymous 配置
    
    为了提高安全性，开发者可以将crossorigin属性设置为`"anonymous"`。在这种情况下，浏览器在加载跨域脚本文件之前，会先检查该脚本文件是否包含任何`Access-Control-Allow-Origin`头。如果该头不存在，或者其值不包含请求源的域名，浏览器就会阻止该脚本文件的加载。

    这种配置方式可以有效地防止XSS攻击，因为恶意脚本文件通常不会包含`Access-Control-Allow-Origin`头。但是，它也可能会导致一些合法的跨域脚本文件无法加载，从而影响网站的正常运行。

    ### 3. 其他配置选项
    
    除了`anonymous`配置之外，crossorigin属性还支持其他一些配置选项，包括：

    * `"use-credentials"`：允许跨域请求携带凭据（如cookie、HTTP认证信息等）。
    * `"include"`：允许跨域请求携带自定义的请求头。
    * `"omit"`：禁止跨域请求携带凭据和自定义请求头。

    开发者可以根据实际需要选择合适的crossorigin属性配置，以在安全性、跨域兼容性和网站性能之间取得最佳的平衡。