- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
据我所知,同源策略是为了防止源自(邪恶)域 A 的脚本向(良好)域 B 发出请求 - 换句话说,跨站点请求伪造。
玩了一下,我了解了 Access-Control-Allow-Origin
header 和 CORS
,据我所知,它允许从好域 B 指定服务器域 A 是允许的来源(因此不是邪恶的)。如果跨域响应中不存在此 header ,则浏览器将不会从中读取任何内容,但无论如何它已经发出了请求。
现在,我不知何故错过了这里的重点。如果域 B 具有 Web 服务 API 以及用户登录时的 cookie 身份验证,基本上邪恶来源 A 可以代表可怜的用户执行任何操作,只是攻击者看不到响应。
我在这里缺少什么?我的推理哪里有问题?
最佳答案
As I read, the same origin policy is about preventing scripts with origin in (evil) domain A to make requests to (good) domain B - in other words cross-site request forgery.
同源策略可防止从另一个源读取不匹配的域、端口或协议(protocol)组合。它没有提到限制请求首先发出。
例如
http://www.example.com
无法读取 http://www.example.edu
https://www.example.com
无法读取 http://www.example.com
上的任何内容(Cookie 除外,因为 Cookie 的同源策略是不同的)http://www.example.com:8080
无法读取 http://www.example.com
同源策略不会阻止向另一个域发出请求。只有只读的响应。所以...
http://www.example.com
可以通过 AJAX 或表单将数据发布到 http://www.example.edu
(即使有凭证,如果第三方浏览器中启用了 cookies)http://www.example.com
可以通过 AJAX 或表单将数据 POST 到 https://www.example.com
https://www.example.com
可以将数据发布到 http://www.example.com
,尽管当通过 HTTPS 页面访问 HTTP 内容时,浏览器很可能会阻止请求或警告用户。当然,当通过 AJAX 时,通过表单将取决于浏览器和设置http://www.example.com
可以从 http://www.example.edu
加载图像,但是图像数据将无法通过脚本编写因此 CORS 不会放松现有安全性,它允许一个域选择加入 CORS 并允许另一个域从中读取响应。
关于javascript - 同源政策目的可疑,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27761362/
我正致力于通过 OAuth 合并外部 API,但对 expires_in 属性的用途有点迷惑。通过阅读,应该对 api token 的使用进行防御性编码,因为您应该预料到 token 在任何时候都可能
有人可以概述或总结一下 Spring 框架上下文中 bean 的用途吗? 我了解标准的 Java bean(没有 arg 构造函数、getter/setter,通常是序列化的),但 Spring be
使用 OpenGL 4.1 和 ARB_separate_shader_objects,我们能够在着色器程序中存储着色管道的不同阶段。众所周知,要使用这些,我们需要将它们附加到程序管道对象,然后绑定(
正如我从文档中了解到的那样,“MoveIteratorFactory”的目的是生成每一步都需要执行的 Action 。 “getSize”方法的移动子集有多大? “createOriginalMove
请解释 CMakeLists.txt 中这一行的目的是什么: 包括(InstallRequiredSystemLibraries) 我在 CMake 示例中看到这一行,但找不到好的解释,为什么我需要它
这里是新手。我仍在尝试理解在多个布局中运行单个进程或目的的概念。 例如,我想在我的申请中添加“提交后”功能。有一个包含标题、内容等文本框的主布局,以及一个链接到另一个布局以选择类别的按钮。我的问题是,
我在看 Box Oauth2.0 View Controller : https://github.com/box/box-ios-sdk-v2/blob/master/BoxSDK/OAuth2/B
我编写了一个将字符串复制到系统剪贴板的 Java 应用程序。构造函数使用 Clipboard.setContents(Transferable contents, ClipboardOwner own
阅读此文后:http://sourcemaking.com/design_patterns/command 我还是不太明白为什么我们需要这个。 最佳答案 想法是,如果命令被封装为对象,那么这些命令可以
我知道 c++ 中的模板是做什么的,但是今天我看到了一些奇怪的代码: template <> void swap(foo &a, foo &b) { a.name = b.name; a.
我不太明白 C# Collections 中 IEnumerator 的用途是什么。它的用途是什么,为什么要使用它? 我试着在线查看 http://msdn.microsoft.com/en-us/l
不幸的是,我今天做了一些代码考古(同时重构了一些旧的危险代码)并发现了这样的小化石: # line 7 "foo.y" 能在里面找到如此古老的宝藏,我完全惊呆了。我在 C 编程的网站上阅读了它。然而,
您能否澄清一下此注释的实际用途? - 如果我们没有使用数据库中的 SQL 表定义定义相应的约束,会发生什么情况。当我们尝试插入时,hibernate 会检查唯一性吗?或者这就是DB的目的吗?如果 hi
我在视频教程中看到过这段代码: const navToggle = ["Menu"].join(""); $(".site-header").prepend(navToggle); 我明白它的基本作用
我想知道这个成员函数的 scroll_to(TextBuffer::iterator& iter, double within_margin = 0)参数 within_margin。 API 是这样
我想知道是否可以将子目录提交到目录例如,假设您有 site.com/directory 可以将子目录提交到目录。我即将开始为希望她的网站在搜索引擎中排名靠前的客户进行一些搜索引擎优化。我知道实现此目的
STL 迭代器的用途是什么?为什么程序员要创造这个概念? 最佳答案 迭代器允许您将算法与容器分开。只要您有开始和结束迭代器,并且知道迭代器的功能(随机访问等),您就可以在迭代器指定的范围内进行操作。例
NSData *responseData = [NSURLConnection sendSynchronousRequest:theRequest returningResponse:&respons
我正在编写代码,使用通用的 linux i2c 驱动程序 linux/i2c-dev.h 实现一个简单的 i2c 读/写功能 我对 ioctl 感到困惑:I2C_SLAVE 内核文档说明如下: You
在尝试克隆可变集合时,我最初的方法是对 mutable.Cloneable 特征使用 clone() 方法。但是,这取决于创建引用副本的 java.Object.clone 实现,而不是深拷贝。通过测
我是一名优秀的程序员,十分优秀!