5
(如果沒有,它實際上提高客戶端的安全性?)關於客戶端安全性,CORS除了顛覆同源策略之外還有其他什麼嗎?
我想從哪兒服務器X的腳本使用XHR來獲取和運行從服務器Y(支持CORS)不受信任的代碼的情況。
(顯然不可信評估代碼是壞™)
A
回答
5
我不使用CORS在所有提高安全性。我使用CORS訪問不同域上的已知Web服務,如果沒有CORS,我將不會訪問它。在我看來,與提高安全性無關,而是允許將來自一個域的數據委託給另一個域。
5
CORS是不是硬化安全性,它是關於削弱它(但只有在從服務器允許一定條件下)。
如果您要訪問從另一臺服務器東西在一個AJAX請求,沒有CORS,你不能因「安全」(同源策略),那就是它的結束*。使用CORS,其他服務器可以授予權限以減少安全屏障。
*除了像JSONP黑客,但也需要從服務器
1
CORS許可顛覆了同源策略,但選擇如此。例如,一個銀行的網站域名就根本沒有設置CORS標題(保持全效同源),因爲沒有JavaScript的其他域中的下載,應使AJAX請求給銀行(或者也許他們僅允許他們信任的合作伙伴網站)。 CDN可能會設置Access-Control-Allow-Origin「*」,因爲它不關心從另一個域下載的JavaScript是否向CDN發出AJAX請求。
相關問題
- 1. 除了CURL以外,還有其他休息客戶選擇嗎?
- 2. 除了JavaScript之外,還有其他用於客戶端編程的編程語言嗎?
- 3. 除了默認的x + 1之外,還有其他策略可用於自動遞增主鍵嗎?
- 4. 除了Android SDK之外,還有其他的Android模擬器嗎?
- 5. Scala:除了scala之外,還有其他的嘗試嗎?
- 6. 除了PIVOT之外,還有其他的方法嗎?
- 7. EOL == EOS除了BASIC之外還有其他語言嗎?
- 8. JavaBean除了getter和setter之外還有其他方法嗎?
- 9. 除了轉義引號之外,還有其他方法嗎?
- 10. 除了Siphon之外,iPhone還有其他的SIP實現嗎?
- 11. 除了listview之外還有什麼用?
- 12. 從flash客戶端上傳安全圖片的有效策略是什麼?
- 13. 基於Java的顛覆客戶端
- 14. 顛覆IE客戶端
- 15. 除了可靠性之外,ATCA還有什麼好處?
- 16. 構建顛覆客戶端只有
- 17. Java:ResultSet關閉策略,除了最後關閉之外
- 18. Atom除了聯合供稿之外還可以用於其他用途嗎?
- 19. Google Analytics和其他客戶端分析工具的安全性?
- 20. 除了EditorTemplate MVC之外,還有其他htmlAttributes 5.2
- 21. 處理iOS Exceptions除了Crittercism之外還有其他方法
- 22. 除了MediaPlayer以外,還有其他的Android mp3播放器嗎?
- 23. 除了MSXML以外,還有其他更好的IDOMImplementation嗎?
- 24. 安全策略的Apache CXF Java客戶端
- 25. Java:針對AES256從applet修補客戶端安全策略
- 26. 除委託之外還有其他協議用法嗎?
- 27. 如何在Web客戶端中放大/縮小?還有其他客戶嗎?
- 28. 違反了同源策略?
- 29. 除了模擬持久任務之外,Thread.Sleep()還有其他用途嗎?
- 30. 除了kxmenu之外,iOS還有其他自定義彈出式菜單嗎?
腳本本身不受跨域限制。例如,來自域X的腳本可以包含來自域Y的腳本,並執行代碼。這可以通過一個普通的腳本標籤來完成,沒有CORS。 – monsur 2011-06-05 16:22:46
我很清楚這一點,我不認爲它有助於回答這個問題 – adam77 2011-06-06 07:55:21