现代浏览器支持CORS得心应手。如果CORS-aided cross-origin-XHR发送到CORS-ignorant站点,XHR 毫无疑问会成功。
它是否在这方面暴露了更多的漏洞?如何严格执行Same Origin Policy当今的浏览器?
问问题
48 次
1 回答
1
看看 CORS 中的预检请求是如何工作的。CORS 预检请求通过首先询问服务器是否可以发出跨域请求来保护服务器免受未经授权的请求。如果服务器说“是”,浏览器继续请求。否则请求失败。
请注意,某些类型的请求不需要预检请求。然而,这些请求甚至在 CORS 之前就已经成为可能。例如,一个简单的 GET 请求不需要预检,但已经可以使用script标签进行 GET。
您可以在此处了解有关 CORS 和预检的更多信息:http: //www.html5rocks.com/en/tutorials/cors/
于 2013-05-03T14:53:42.827 回答