个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我认为对于 XMLHttpRequest 的同源限制有些我不理解的地方。
与其禁止 Javascript 代码向不同的主机发送 http 请求(这对于合法用途来说确实很烦人),不如在这种情况下只允许请求但不发送或接受 cookie?
在我看来,乍一看,禁止特定脚本获取互联网上其他所有人都能获取的内容似乎是一个非常奇怪的选择...
我错过了什么?
最佳答案
Instead of forbidding Javascript code to send http request to different hosts (something that is really annoying for legitimate uses) wouldn't have been better to just allow the request but not sending or accepting cookies in that case?
这就是Cross-Origin Resource Sharing (CORS)指定。
Care must always be taken by applications when making cross-origin requests with user credentials, and servers processing such requests must take care in the use of credentials, including the Origin header.
- When requests have significance other than retrieval, and when relying on the Origin header as a credential, servers must be careful to distinguish between authorizing a request and authorizing access to the representation of that resource in the response.
...
omit credentials flag
Set when user credentials are to be excluded in the request and when cookies are to be ignored in its response.
Forbidding a specific script to get something that literally everyone else in the internet can get seems to me at a first sight a quite weird choice...
What am I missing?
网络标准机构花了一段时间才意识到人们想要编写严肃的 JavaScript 重应用程序。 Gmail 改变了这一切,但 W3C 等标准机构需要一段时间才能填补功能漏洞。
关于javascript - 关于 XMLHttpRequest 的同源限制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10061605/
24
4
0
我的 coinbase 支付按钮不会显示。我从 coinbase 收到此错误消息: 拒绝显示' https://coinbase.com/transactions ' 在框架中,因为它将 'X-Fra
我有一个 Web 应用程序,它作为托管在单个父窗口中的多个 iframe 运行(基本上是修改后的 GWT)http://en.wikipedia.org/wiki/Google_Web_Toolkit
CORS 表示: A web application executes a cross-origin HTTP request when it requests a resource that has
假设我有一个 CPU 密集型 iframe。 它与父页面在同一个域中,因此不适用跨域,因此它共享父页面的事件循环。 是否可以为 iframe 提供一个单独的 JS 上下文(包括一个单独的事件循环),这
我是一名优秀的程序员,十分优秀!