action除了and之外,有没有办法在表单数据中包含其他请求标头method?我希望在不让用户重新输入他们的登录凭据的情况下跨域发送一些身份验证凭据。即我想直接从表单提交构建一个身份验证标头。
该域启用了 SSL,因此我考虑在 URL 中包含凭据,但正如这里所解释的,这是一个坏主意,因为这些凭据可能通过连接是安全的,但其他应用程序可能通过浏览器访问这些凭据。
大图
我可以通过对客户端服务器(主域)的 AJAX 请求访问跨域用户名和密码。我想获取这些凭据并通过非 AJAX 请求提交它们,这样用户就可以安全地下载文档,而无需公开访问 URL。
对于具体问题,我相信答案是否定的——您无法控制从表单本身发送任何额外的标题。您可以使用表单发送其他一些内容,但它们对您想要做的事情没有用:W3 Form Tag Specification
你可以做的是做一个表单 POST,这是在会话 cookie 不可用并且查询字符串不起作用时进行通信的标准方式;只需使用带有某种令牌/凭据哈希的隐藏字段。避免像瘟疫这样的明文密码,并且真的尽量避免对它们进行可逆加密。这只是您必须格外小心以避免创建易于利用的安全漏洞的领域之一。
但一般来说它工作得很好,任何可以做 AJAX GET 的东西都应该能够做 AJAX POST。