ada*_*m77 6 javascript ajax xmlhttprequest same-origin-policy cors
(如果没有,它是否真的能提高客户端的安全性?)
我正在考虑服务器X的脚本使用XHR从服务器Y(支持CORS)获取和运行不受信任的代码的情况.
(显然评估不受信任的代码是坏的)
我根本不使用CORS来提高安全性.我使用CORS访问不同域上的已知Web服务,如果没有CORS,我将无法访问该域.在我看来,与提高安全性无关,而是允许将来自一个域的数据委托给另一个域.
CORS不是要加强安全性,而是要弱化它(但只有在某些条件下才能获得服务器的许可).
如果你想在没有CORS的情况下从AJAX请求中的另一台服务器访问某些内容,则由于"安全性"(相同的原始策略)而不允许这样做,而这就是它的结束*.使用CORS,其他服务器可以授予减少安全屏障的权限.
*除了像JSONP这样的黑客,但这也需要服务器的许可
| 归档时间: |
|
| 查看次数: |
2348 次 |
| 最近记录: |