我試着瞭解HTTP基本語句,因爲這不符合我的預期。Access-Control-Allow-Origin的原因是什麼?
E.g.我已將Access-Control-Allow-Origin設爲http://www.example.com,並且我嘗試從http://www.example2.com發送POST請求,並且出現了像我預期的那樣的錯誤。它說...request has been blocked by CORS policy。 但是當我看到實際上那個請求是在http://www.example.com上完成並且POST動作被調用時,我很好奇。
問題然後,爲什麼我們需要那protection?
當網頁被加載到瀏覽器中時,其HTML,CSS,Javascript被加載,其會話正在被使用。一些許多潛在的問題:
的iframe內的遠程頁面可能是你在哪裏登錄(如您的個人電子郵件帳戶的網頁)和蜘蛛會默默竊取重要數據(如頁面您的電子郵件內容,包括訪問機密區域,如銀行賬戶相關數據,個人數據,私人數據等)。
機密的CSS/Javascript可能會被信任的用戶盜用。例如:你在Javascript和CSS中創建了一些非常好的代碼,只有付費用戶才能使用他們的好處。然而,有人向你發送一個指向一個頁面的鏈接,它默默地將你的網站加載爲iframe,並從那裏提取CSS和Javascript的好東西。然後,竊取者將以折扣銷售您的產品,您可以使用新產品和更好的安全策略。
您的帳戶可能被黑客入侵。一個有活動會話的頁面可以在iframe內加載,然後蜘蛛可能會在那裏造成嚴重破壞,包括但不限於更改用戶名/密碼,並將您從自己的帳戶中排除。
惡意的事情可以用你的名義對其他人完成。
了幾個很好的解釋,見http://stackoverflow.com/questions/9222822/why-do-browser-apis-restrict-cross-domain-requests/9223680#9223680和http:// stackoverflow.com/questions/9228150/why-are-cross-domain-ajax-requests-labelled-as-a-security-risk/9228196#9228196 – sideshowbarker
感謝您的鏈接。但我仍然可以發送各種請求,但不能處理響應 –