我想了解为什么CORS正在以它的方式工作。了解AJAX CORS和安全考虑事项
当我从this post,当从www.a.com页使得AJAX请求www.b.com了解到,那么它的www.b.com是决定是否请求应当被允许或不。
但是在这样的模型中,客户端的确切担保是什么? 例如,如果黑客成功将XSS脚本注入到我的页面,那么它向他的域发出一个AJAX请求来存储用户数据。所以黑客的域名肯定会允许这样的请求。
我认为www.a.com应该决定哪些域允许请求。所以在理论上在一个标题访问控制,允许来源我想把整个允许AJAX CORS请求的域列表。
有人可以解释当前的CORS实现处理什么安全问题吗?
是的,没错,提供数据的域(saas)可以列出它是'允许的'域。 (ACAO's)之后,SaaS有责任确保请求的安全性(通过定期的'web服务器'方式 - 字符串清理,捕获DSA等) –