首先道歉:这对我来说就像一个“愚蠢”的问题,我想我很快就会后悔问这个问题......但我现在无法弄清楚,因为我的思想似乎陷入了错误的轨道. 所以请耐心等待并帮助我:
我的理解是,“同源”对于 Web 服务来说是一种痛苦,作为回应,CORS 放宽了限制,使 Web 服务合理工作,但仍然为用户提供了不错的安全性。我的问题是 CORS 是如何做到这一点的?
假设用户访问网站A,该网站提供了向网站Z发出Web服务请求的代码。但我已经闯入并破坏了网站Z,并将其变成了攻击站点。我很快让它对所有 CORS 请求做出积极响应(标头添加 Access-Control-Allow-Origin: "*")。很快,用户的电脑就被我来自 Z 的攻击所颠覆。
在我看来,用户从未访问过ž直接,什么都不知道绕Z轴的存在,从来没有“批准” Z.它在唱到后,在我看来-甚至变得known-有什么网站A能阻止它这样做(短的打算离线本身:-)。难道安全问题不会要求 A 证明 Z,而不是 Z 证明 A?我错过了什么?
执行此操作可生成正确的结果,Chrome调试器表示没有例外:
var x = new Foo().bar().baz();
但这会进入太空而永远不会完成,Chrome调试器虽然bar()执行正确,但它会抛出"typeerror"异常,并且在尝试调用baz()时永远不会到达指定的函数:
var x = new Foo();
x = x.bar().baz();
在我看来,它们在功能上是相同的.他们为什么表现不同?