交叉来源xhr和同源政策

Question

这是一个我认为我理解的概念，但最近发现我错了。我查看了互联网上的所有内容，并找到大量小细节和代码片段的示例，但我仍然缺乏对它的阻止以及为什么阻止它以及为什么阻止它的理解。所以这更多的是要求高层次的解释而不是问题。

不管怎么说，这里就是我想我了解：

比方说，我有域A.com和域B.com。每个人都拥有自己的IP地址的apache服务器。 我从域A.com加载一个HTML文件到浏览器中。浏览器执行POST XMLHttpRequest到B.com/doStuff.php，由于设置了相同的域策略而失败。

所以： 谁是同域名政策是相关的？我认为答案是B.com/doStuff.php ...对不对？因此，当A发送请求时，B检查请求标头的来源，并说“哎呀，不同的域，不会听你的”。或者A发送请求，B响应指定“same-domain-policy”的头部，然后浏览器检查该请求，因为指定了same-domain-policy，并且A请求头部的域不匹配来自B的请求BROWSER拒绝发送xhr？

如果是这样的话，似乎不允许跨原点请求的一点是，因为“我不想比我之外的任何人访问我的API”。这就是全部？因为你不想用某种认证来解决这个问题吗？难道有人只是构造一个假源头的HTTP请求（简单地说谎）？

或者这是否应该保护用户？如果是这样的话，如何防止他们调用你的API来保护任何人？

我很困惑...

Answer 1

的想法是，你不希望通过JavaScript从服务器A访问服务器B。如果您正在使用API​​进行交互，则可以使用JavaScript调用您自己的服务器的后端代码，然后再调用其他服务器。

Answer 2

Who's same-domain-policy is relevant? 

服务器接收到该请求决定。

... the BROWSER refuses to send out the xhr? 

否，服务器拒绝回应。更准确地说，在现代浏览器中，它由preflighted requests完成。这意味着对于每个跨源请求，首先由浏览器自动发送一个OPTIONS请求，该浏览器的头部与预期请求的头部完全相同，但没有请求主体。服务器只响应头文件。响应中的访问控制标题将让客户端浏览器知道请求是否会根据服务器的策略得到满足。从某种意义上说，浏览器阻止了请求，但仅仅是因为它已经与服务器交换了一个请求/响应对，并且知道没有任何要求尝试请求。如果您在这种情况下伪造请求，服务器仍然拒绝提供服务。