【发布时间】:2013-05-03 22:53:42
【问题描述】:
现代浏览器轻松支持CORS。如果将CORS-aided cross-origin-XHR 发送到CORS-ignorant 站点,XHR 毫无疑问会成功。
它在这方面是否暴露了更多的漏洞?如何在当今的浏览器上严格执行Same Origin Policy?
【问题讨论】:
【发布时间】:2013-05-03 22:53:42
【问题描述】:
了解预检请求在 CORS 中的工作方式。 CORS 预检请求通过首先询问服务器是否可以发出跨域请求来保护服务器免受未经授权的请求。如果服务器说“是”,浏览器继续请求。否则请求失败。
请注意,某些类型的请求不需要预检请求。然而,这些请求甚至在 CORS 之前就已经成为可能。例如,一个简单的 GET 请求不需要预检,但已经可以使用 script 标记进行 GET。
您可以在此处了解有关 CORS 和预检的更多信息:http://www.html5rocks.com/en/tutorials/cors/
【讨论】: