http://en.wikipedia.org/wiki/Same_origin_policy同源策略的威脅模型是什麼?
相同的原產地策略可防止一個站點的腳本與另一個站點通話。維基說這是一個「重要的安全概念」,但我不清楚它阻止了什麼威脅。
據我所知,一個網站的cookies不應與另一個網站共享,但可以(並且)單獨實施。
CORS標準http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing提供了繞過相同原產地策略的合法系統。據推測,它不允許同一來源政策旨在阻止的任何威脅。
看着CORS,我更不清楚誰會受到保護。 CORS由瀏覽器強制執行,因此它不能保護瀏覽器的任何網站。這些限制是由腳本想要與之交談的站點決定的,所以它似乎無法保護任何站點的用戶。
那麼,什麼是相同的原產地政策?
如何在沒有訪問cookie的情況下執行此操作?或者我錯誤地保護了cookies? –
可以通過將'withCredentials'請求屬性設置爲'true'來發送Cookie與CORS請求。由於JavaScript無論如何都可以訪問cookie,因此在那裏建立額外的障礙沒有任何好處。關於這個問題的一個很好的閱讀是在這裏:http://hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors/ – Waldheinz