0
排除所有主流瀏覽器具有的同源策略以及同步標記模式(如果標記所有請求,這會是一種痛苦),您將如何檢查請求是否直接從我發送用戶界面,而不是通過第三方。例如,從iframe發送請求到youtube(我的意思是src = ...不是xmlhttprequest對象),響應將是一個空白頁面(他們是如何做的?),發送一個請求從一個iframe到facebook ajax.hovercard(它是一個簡單的獲取內容請求),地址欄也會給你一個空白頁面(沒有內容)。 SO響應是來自iframe請求的正常內容。如何控制對http請求的響應訪問? (服務器端和客戶端)
就像我之前說過的那樣,如果請求來自可信來源,您將如何檢查(最好是某些服務器端代碼)?
P.S. :不要依賴標題,idk爲什麼起源im沒有從請求中接收,所以我看到他們都在所有主流瀏覽器中實現了origin標頭。參考人員可以通過一些間諜軟件程序進行修改。無論如何,標題不能真正被信任。但是,是的,showld是一個檢查層。
請定義第三方。 ISP也不是第三方嗎?我的意思是你不擁有它,對吧? – hakre 2012-04-06 09:50:57
@hakre我認爲這是顯而易見的這個問題是一個關於跨域請求... – 2012-04-06 10:00:37