我正在阅读有关资源计时 API的这篇文章,但我无法理解以下限制背后的原因:
从第三方获取的资源必须提供额外的 HTTP 标头(Timing-Allow-Origin: *)以允许站点收集详细的网络计时数据。如果不存在标头,则唯一可用的数据是请求的总持续时间。
虽然我可以很容易地理解阻塞没有Access-Control-Allow-Origin标头的请求背后的原因,但我很难理解为什么不应该获取有关没有Timing-Allow-Origin标头的计时信息。
问问题
1203 次
1 回答
6
在阅读了有关资源计时 API 的 W3C 文档后,我发现他们在隐私和安全部分对此进行了解释
统计指纹是一种隐私问题,恶意网站可以通过测量第三方网站中资源的缓存命中和未命中的时间来确定用户是否访问过第三方网站。尽管 PerformanceResourceTiming 接口提供了文档中资源的时间信息,但跨域限制阻止了这种隐私问题比现在使用资源上的加载事件来测量时间以确定缓存命中和未命中的情况更糟。
基本上,他们希望防止恶意人员检查用户之前是否访问过某个页面。
于 2014-07-28T22:01:24.017 回答