我们有几个内部网络应用程序。其中之一需要访问所有其他应用程序。问题是:Same-Orign-Policy。
实际上我确实设法绕过它。首先,IE 在网络安全方面相当草率。所以,它实际上问我是否要完成这些请求。如果我点击是,他只是执行了跨站点请求。
但由于大多数用户不会使用 IE,因此需要使其在另一个浏览器中运行。所以,我试图让它在谷歌浏览器中运行。经过一番研究,我发现,当我使用执行参数打开网络安全时,它会起作用--disable-web-security
。这完成了工作。但不幸的是,大多数用户不会使用这个执行参数。因此我需要另一种解决方案。
然后我遇到了CORS。CORS 似乎是在 Chrome 中实现的,但它有一个缺点(对我来说)。我需要在服务器端设置标题。由于我不会在这里讨论的原因,这是不行的。
所以我真正想知道的是:
为什么禁用浏览器的网络安全可以完成这项工作,而我需要服务器在使用 CORS 时允许请求?
当我禁用网络安全时,浏览器内部究竟会发生什么?
还有另一种方法来执行我的 CSR,而无需在服务器端添加标头或禁用安全性?
提前致谢
编辑: JSONP 也不成问题