我试着了解HTTP基本语句,因为这不符合我的预期。Access-Control-Allow-Origin的原因是什么?
E.g.我已将Access-Control-Allow-Origin设为http://www.example.com,并且我尝试从http://www.example2.com发送POST请求,并且出现了像我预期的那样的错误。它说...request has been blocked by CORS policy。 但是当我看到实际上那个请求是在http://www.example.com上完成并且POST动作被调用时,我很好奇。
问题然后,为什么我们需要那protection?
当网页被加载到浏览器中时,其HTML,CSS,Javascript被加载,其会话正在被使用。一些许多潜在的问题:
的iframe内的远程页面可能是你在哪里登录(如您的个人电子邮件帐户的网页)和蜘蛛会默默窃取重要数据(如页面您的电子邮件内容,包括访问机密区域,如银行账户相关数据,个人数据,私人数据等)。
机密的CSS/Javascript可能会被信任的用户盗用。例如:你在Javascript和CSS中创建了一些非常好的代码,只有付费用户才能使用他们的好处。然而,有人向你发送一个指向一个页面的链接,它默默地将你的网站加载为iframe,并从那里提取CSS和Javascript的好东西。然后,窃取者将以折扣销售您的产品,您可以使用新产品和更好的安全策略。
您的帐户可能被黑客入侵。一个有活动会话的页面可以在iframe内加载,然后蜘蛛可能会在那里造成严重破坏,包括但不限于更改用户名/密码,并将您从自己的帐户中排除。
恶意的事情可以用你的名义对其他人完成。
了几个很好的解释,见http://stackoverflow.com/questions/9222822/why-do-browser-apis-restrict-cross-domain-requests/9223680#9223680和http:// stackoverflow.com/questions/9228150/why-are-cross-domain-ajax-requests-labelled-as-a-security-risk/9228196#9228196 – sideshowbarker
感谢您的链接。但我仍然可以发送各种请求,但不能处理响应 –