js解释器引入到web浏览器,意味着加载一个web页面可能导致任意的js代码在用户计算机上执行,因此,为了防止恶意代码读取私密数据、更改数据或危及隐私,
安全的web浏览器以各种方式限制脚本:
1、客户端js不提供任何方式读取、写入和删除文件或目录,没有File对象,也没有文件访问函数;
2、js程序可以关闭自己打开的浏览器窗口,但不允许它没有经过用户确认就关闭其他窗口,防止恶意脚本调用self.close()来关闭用户其他浏览器窗口;
3、脚本不能读取从不同服务器载入的文档的内容;一个脚本不能在来自不同服务器的文档上注册事件监听器;