0
是否正確,請求頭中沒有「Origin」的請求與受CORS保護的資源訪問控制 - 允許源設置爲特定的fqdn的請求是否接收到正確的200響應?CORS請求是否允許使用Origin?
我期待着一個錯誤,比如當Origin被設置爲一個不同的fqdn而不是被允許的錯誤時,它完美地工作。
A
回答
0
CORS保護旨在防止使用您的證書在另一個網站上觸發一個網站的活動,例如, A.com上的腳本通過AJAX請求向B.com發佈數據。
如果站點觸發對不同域*的請求,Origin標頭將自動由瀏覽器設置(並且不能被重寫)。這是根據第二個站點上的'Access-Control-Allow-Origin'標頭進行檢查的。
如果您在瀏覽器中直接訪問B.com,那麼Origin將會是空白的,因爲您位於同一個站點:CORS不相關。手動設置Origin標題將模仿限制行爲,但CORS不是爲了保護用戶而設計的。
*某些類型的請求(例如加載圖像或腳本)沒有阻止CORS保護
相關問題
- 1. Phonegap是否允許發出POST請求?
- 2. header('Access-Control-Allow-Origin:*');不允許CORS請求
- 3. 請求允許爲
- 4. Access-Control-Allow-Origin不允許Origin null。
- 5. 允許請求到App_Data
- 6. Tomcat不允許PUT請求
- 7. 請求允許動態
- 8. GitHub - 只允許拉請求
- 9. 錯誤:只允許請求
- 10. Apache是否允許基於子請求的結果授權HTTP請求?
- 11. 轉發後是否允許重定向請求?
- 12. 是否允許HTTP POST請求發回響應主體?
- 13. HTTP請求中是否允許多個Cookie標頭?
- 14. SAML身份驗證請求中是否允許屬性?
- 15. Facebook API是否允許發送和接受朋友請求?
- 16. websocket升級是否仍然允許http ajax請求?
- 17. Jquery - 使用POST請求,這是不允許的錯誤
- 18. BaseAdapter不允許調用請求動作
- 19. 請求的作用域不允許:admin.directory.group.member
- 20. CORS允許一些GET請求,但不允許Facebook登錄請求
- 21. Sencha Touch Ajax請求錯誤:原始null不被Access-Control-Allow-Origin允許。
- 22. Chrome擴展xhr跨域請求給出錯誤:「Access-Control-Allow-Origin不允許」。
- 23. $ http.post請求標頭字段Access-Control-Allow-Headers錯誤不允許Access-Control-Allow-Origin
- 24. Phonegap ajax調用問題Access-Control-Allow-Origin不允許Origin null。
- 25. CORS是否允許使用「Prefer」標頭?
- 26. BQL是否允許使用DatePart?
- 27. 是否允許使用foreach這樣做?
- 28. 是否允許使用靜態setter/getters?
- 29. nasm:是否允許使用「global _start:」?
- 30. iOS:是否允許使用libIOKit.dylib
你觀察一個Web瀏覽器不發送的Origin標? CORS由瀏覽器強制執行。服務器可能會或可能不會注意Origin標頭。 – AgentME 2014-09-26 22:57:43
不,我直接向瀏覽器的CORS保護的資源發出請求,如果我在header中指定了Origin,它會被阻止,但是如果我沒有指定Origin就可以工作,所以我想知道這是否正確。 – 2014-09-26 23:05:52
您不能覆蓋CORS AJAX請求中的Origin標頭(除非服務器在Access-Control-Allow-Headers中指定Origin,這可能很奇怪,可能也是安全漏洞)。 Origin頭文件會自動由您的瀏覽器設置CORS請求。如果這不是你的問題所在,請包含一個代碼示例,因爲它不清楚發生了什麼。 – AgentME 2014-09-26 23:12:26