我有web应用程序(在java中),我需要通过jQuery或简单的javaScript ajax调用通过Ajax调用在任何浏览器(包括IE限制XDomainRequest对象)通过Ajax调用的跨域请求。限制跨域Ajax请求
我的最终目的是限制它,而通过浏览器设置或设置响应标题进行呼叫,因此它不会在第一点本身进行呼叫。
如果相同的政策是解决方案,请解释它是如何解决的。
感谢和问候, Oceanvijai
我有web应用程序(在java中),我需要通过jQuery或简单的javaScript ajax调用通过Ajax调用在任何浏览器(包括IE限制XDomainRequest对象)通过Ajax调用的跨域请求。限制跨域Ajax请求
我的最终目的是限制它,而通过浏览器设置或设置响应标题进行呼叫,因此它不会在第一点本身进行呼叫。
如果相同的政策是解决方案,请解释它是如何解决的。
感谢和问候, Oceanvijai
您可以控制哪些域您经由Access-Control-Allow-Origin响应头接受Ajax请求。如果头部缺失,则只允许来自同一个域的请求。
更新:如果要禁止AJAX请求甚至开始,你可以尝试X-Content-Security-Policy:
xhr-src 'none'
,但我无法想象任何情况下,这将是有益的。也许你可以更详细地解释一下情况?
谢谢你4的回复,但是当ajax调用从请求服务器(远程域)返回时,这个Access-Control-Allow-Origin标志的响应是否被验证?我需要防止ajax请求本身,所以它不会发布从本地域到远程域服务器的任何值。 – Oceanvijai 2011-06-03 13:19:13
我不确定整个情况是否可能,但我有一个奇怪的想法,如果某个xss攻击者在受害者页面中放入恶意代码,试图从本地页面窃取一些敏感信息并将其发布到其他服务器上ajax调用..... – Oceanvijai 2011-06-05 06:28:30
@Oceanvijai:内容安全策略可以阻止大多数XSS攻击(例如当使用本地'
你在问什么?不清楚。 – epascarello 2011-06-03 14:50:50