那麼,該插件的作用是非常不負責任的;它實際上禁用了相同的原產地策略,該原則強制特定原產地的網站只能向該原產地提出請求。
相同的原產地策略實際上只是防止網站讀取GET/POST請求的響應,請求本身是由於其認爲保存而產生的。
隨着時間的推移,這個良好的安全功能成爲一種負擔,人們使用JSONP等變通方法。
所以我們得到了一個新的,標準化的方式來訪問外國血統:
CORS(跨來源資源共享)是一種機制,允許Web服務器指定另一個起源允許訪問其內容。這通過Access-Control-Allow-Origin: example.com
完成,它允許example.com訪問響應,即使響應來自不同的來源。
Access-Control-Allow-Credentials: true
也將允許憑據,其中包括cookie和HTTP基本身份驗證發送請求。
您還可以爲Access-Control-Allow-Origin: *
指定通配符,該通配符允許所有網站訪問此響應。但是,當你這樣做時,必須指定Access-Control-Allow-Credentials: false
,所以沒有憑據公開。
這是在互聯網上實現公共可訪問的AJAX API的唯一正確方法。
但是這個插件只是簡單地禁用同源策略完全這是極其危險。
來源
2016-07-04 22:23:08
Lux
很明顯。謝謝! –