gpt4 book ai didi

javascript - 为什么没有更多的 oEmbed 提供商在其端点上启用跨域资源共享?

转载 作者:数据小太阳 更新时间:2023-10-29 03:57:29 27 4
gpt4 key购买 nike

似乎大多数(如果不是全部)oEmbed 提供商端点都没有启用 CORS。这意味着我必须使用 JSONP(对于那些支持它的人)或通过服务器代理才能使用 oEmbed。

有一项公司政策禁止使用来自第 3 方提供商的 JSONP,但我仍然希望以纯粹的客户端方式利用 oEmbed(对于我们信任的某些提供商)。我了解 oEmbed 的消费者的安全隐患,以及为什么他们可能不想让第 3 方标记直接进入他们的页面,但为什么 vendor 会限制这一点?如果我构建了一个服务器代理并且没有过滤结果,那么我很容易就有 XSS 漏洞。

最佳答案

只是猜测:

可能与预检请求有关。 The CORS spec指出客户端在许多情况下应该发送一个额外的 OPTION 请求(基本上,对于非常基本的 GETPOST 之外的任何事情)。这意味着,在服务器端,您只需提供 CORS 就会使传入的请求加倍,而且这种额外负载可能是 Not Acceptable 。

关于javascript - 为什么没有更多的 oEmbed 提供商在其端点上启用跨域资源共享?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8250884/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com