那些遇到过的问题

为什么没有更多的oEmbed提供商在其端点上启用跨域资源共享?

Han*_* Ho 9 javascript frontend cross-domain oembed cors

似乎大多数(如果不是全部)oEmbed提供者端点没有启用CORS.这意味着我必须使用JSONP(对于那些支持它的人)或通过服务器代理只是为了使用oEmbed.

有一个公司政策反对使用来自第三方提供商的JSONP,但我仍然希望以纯粹的客户端方式利用oEmbed(对于我们信任的某些提供商).我理解oEmbed消费者的安全隐患以及为什么他们可能不希望将第三方标记直接放入他们的页面,但为什么提供商会限制这一点呢?如果我构建了一个服务器代理并且没有过滤结果,我可能很容易出现XSS漏洞.

Ser*_*nos 1

只是猜测:

这可能与预检请求有关。CORS 规范规定,客户端在许多情况下应该发送额外的OPTION请求(基本上,对于非常基本的GET或之外的任何内容POST)。这意味着,在服务器端,仅通过提供CORS就会使传入请求加倍,并且可能额外的负载是不可接受的。

归档时间:

查看次数:

774 次

最近记录:

7 年,7 月 前
相关归档
如何从Javascript中的文件名字符串中提取扩展名? 128
使用jQuery AJAX加载跨域端点 127
如何使用ui-router为AngularJS提取查询参数? 61
从子窗口重新加载父窗口 59
如何使用JavaScript获取Tinymce textarea的内容 44
在IE中设置document.domain后读取window.location(6) 5
Create React App 中 httpsCallable firebase 上的 CORS 错误 5
joi-browser的最新版本是多少?如果更改的话它的名称是什么? 5
跨域请求被阻止:同源策略禁止读取URL上的远程资源 3
如何在 nuxt.js 上从子组件获取值到父组件? 3
难疑归档
如何在Git中更改多个提交的作者和提交者名称以及电子邮件? 2282
什么是Android上的"上下文"? 1872
如何检查字符串"StartsWith"是否是另一个字符串? 1660
我怎样才能存储特定文件? 1422
如何从其他线程更新GUI? 1331
如何在Java中将数字舍入到n个小数位 1209
Git:如何在项目提交历史中找到已删除的文件? 1183
从Docker容器内部,如何连接到本机的本地主机? 1176
Objective-C中的快捷方式用于连接NSStrings 1114
"静态"在C中意味着什么? 1062