交叉來源xhr和同源政策

Question

這是一個我認爲我理解的概念，但最近發現我錯了。我查看了互聯網上的所有內容，並找到大量小細節和代碼片段的示例，但我仍然缺乏對它的阻止以及爲什麼阻止它以及爲什麼阻止它的理解。所以這更多的是要求高層次的解釋而不是問題。

不管怎麼說，這裏就是我想我瞭解：

比方說，我有域A.com和域B.com。每個人都擁有自己的IP地址的apache服務器。 我從域A.com加載一個HTML文件到瀏覽器中。瀏覽器執行POST XMLHttpRequest到B.com/doStuff.php，由於設置了相同的域策略而失敗。

所以： 誰是同域名政策是相關的？我認爲答案是B.com/doStuff.php ...對不對？因此，當A發送請求時，B檢查請求標頭的來源，並說「哎呀，不同的域，不會聽你的」。或者A發送請求，B響應指定「same-domain-policy」的頭部，然後瀏覽器檢查該請求，因爲指定了same-domain-policy，並且A請求頭部的域不匹配來自B的請求BROWSER拒絕發送xhr？

如果是這樣的話，似乎不允許跨原點請求的一點是，因爲「我不想比我之外的任何人訪問我的API」。這就是全部？因爲你不想用某種認證來解決這個問題嗎？難道有人只是構造一個假源頭的HTTP請求（簡單地說謊）？

或者這是否應該保護用戶？如果是這樣的話，如何防止他們調用你的API來保護任何人？

我很困惑...

Answer 1

的想法是，你不希望通過JavaScript從服務器A訪問服務器B。如果您正在使用API​​進行交互，則可以使用JavaScript調用您自己的服務器的後端代碼，然後再調用其他服務器。

Answer 2

Who's same-domain-policy is relevant? 

服務器接收到該請求決定。

... the BROWSER refuses to send out the xhr? 

否，服務器拒絕迴應。更準確地說，在現代瀏覽器中，它由preflighted requests完成。這意味着對於每個跨源請求，首先由瀏覽器自動發送一個OPTIONS請求，該瀏覽器的頭部與預期請求的頭部完全相同，但沒有請求主體。服務器只響應頭文件。響應中的訪問控制標題將讓客戶端瀏覽器知道請求是否會根據服務器的策略得到滿足。從某種意義上說，瀏覽器阻止了請求，但僅僅是因爲它已經與服務器交換了一個請求/響應對，並且知道沒有任何要求嘗試請求。如果您在這種情況下僞造請求，服務器仍然拒絕提供服務。