Moderne Browser unterstützen CORS
handlich. Ob CORS-aided cross-origin-XHR
wird gesendet an CORS-ignorant
Website, der XHR gelingt keine Frage.
Gibt es in dieser Hinsicht mehr Anfälligkeit? Wie man streng durchsetzt Same Origin Policy
auf heutigen Browsern?
Antworten:
1 für die Antwort № 1Sehen Sie sich an, wie Preflight-Anfragen funktionierenCORS. Die CORS-Preflight-Anfrage schützt Server vor unautorisierten Anfragen, indem sie zunächst den Server fragt, ob die quellenübergreifende Anfrage in Ordnung ist. Wenn der Server "Ja" sagt, fährt der Browser mit der Anfrage fort. Andernfalls schlägt die Anfrage fehl.
Beachten Sie, dass bestimmte Arten von Anfragen vorhanden sindEnglisch: www.openbsd.dk/faq/pf//queueing.html Diese Requests waren aber schon vor CORS möglich, zB benötigt eine einfache GET - Anfrage kein Preflight, aber ein GET kann bereits mit a gemacht werden script
Etikett.
Sie können hier mehr über CORS und das Preflight erfahren: http://www.html5rocks.com/en/tutorials/cors/