9

似乎大多数(如果不是全部)oEmbed 提供程序端点都没有启用 CORS。这意味着我必须使用 JSONP(对于那些支持它的人)或通过服务器代理才能使用 oEmbed。

有一项公司政策反对使用来自 3rd 方提供商的 JSONP,但我仍然希望以纯粹的客户端方式利用 oEmbed(对于我们信任的某些提供商)。我了解 oEmbed 的消费者的安全隐患,以及为什么他们可能不想让 3rd-party 标记直接进入他们的页面,但为什么提供商会限制这一点?如果我构建了一个服务器代理并且没有过滤结果,我也很容易遇到 XSS 漏洞。

4

1 回答 1

1

只是猜测:

它可能与预检请求有关。CORS 规范指出,在许多情况下,客户端应该发送额外的OPTION请求(基本上,对于非常基本的GETor之外的任何内容POST)。这意味着,在服务器端,仅通过提供CORS ,您的传入请求就会增加一倍,并且可能无法接受额外的负载。

于 2011-12-12T06:58:59.973 回答