我看到以下错误:
Origin http://localhost:8080 is not allowed by Access-Control-Allow-Origin
使用此代码:
var http = new getXMLHttpRequestObject();
var url = "http://gdata.youtube.com/action/GetUploadToken";
var sendXML = '<?xml version="1.0"?><entry xmlns="http://www.w3.org/2005/Atom"'+
'xmlns:media="http://search.yahoo.com/mrss/'+
'xmlns:yt="http://gdata.youtube.com/schemas/2007">'+
'<media:group><media:title type="plain">My First API</media:title>'+
'<media:description type="plain">First API</media:description>'+
'<media:category scheme="http://gdata.youtube.com/schemas/2007/categories.cat">People</media:category>'+
'<media:keywords>first, api</media:keywords></media:group></entry>';
http.open("POST", url, true);
http.setRequestHeader("Authorization", "AuthSub token=" + AccessToken);
http.setRequestHeader("X-GData-Key", "key="+ dev_key);
http.setRequestHeader("Content-Type", "application/atom+xml; charset=UTF-8");
http.onreadystatechange = function() {
if(http.readyState == 4) {
alert(http.responseXML);
}
}
http.send(sendXML);
是什么导致这种情况,我该如何解决?
默认情况下,浏览器不允许跨站点AJAX请求.
我知道,一个设想不当的跨域请求可能会带来安全风险.如果我使用外部网站的html或javascript并将其"渲染"到我的网站,那就是一个问题.该外部代码可用于许多不良事情 - 例如访问当前用户的会话数据.
但是,如果我只请求JSON或XML数据,并且我使用适当的库来解析JSON(而不仅仅是使用eval),我无法想象这将是一个安全风险.可能发生的更糟糕的是来自该站点的内容无法正确呈现.
我错过了什么吗?是否可以通过发送某种恶意数据来破坏读取json/xml的页面?