Moderné prehliadače podporujú CORS
hravo. ak CORS-aided cross-origin-XHR
sa posiela na CORS-ignorant
XHR sa vôbec nedarí.
Vystavuje to zraniteľnejšie v tomto ohľade? Ako striktne presadzovať Same Origin Policy
na dnešných prehliadačoch?
odpovede:
1 pre odpoveď č. 1Pozrite sa, ako fungujú požiadavky na preletCorsy. Požiadavka na predletovú príležitosť CORS chráni servery pred neoprávnenými požiadavkami tým, že sa najprv pýta servera, či je v poriadku požiadavka na krížový pôvod. Ak server hovorí "áno", prehliadač pokračuje s požiadavkou. V opačnom prípade žiadosť zlyhá.
Upozorňujeme, že existujú určité typy požiadaviekže žiadosti o predbežnú letu nepotrebujú, ale tieto žiadosti boli už možné ešte pred CORS, napríklad jednoduchá žiadosť GET nepotrebuje prelet, ale GET už môže byť vytvorená s script
tag.
Viac informácií o CORS a preletoch nájdete tu: http://www.html5rocks.com/en/tutorials/cors/