0
這個問題的目的是確認(或不)我對W3C Access Control目的的理解。如果我正確讀取它,它允許資源控制誰可以從其他資源加載的頁面訪問它。它不會保護頁面免受惡意軟件注入,從而產生跨腳本請求。換句話說,任何壞帽子都可以創建一個(例如)寧靜的服務,以愉快地接受被盜的信息,只要它返回這個規範的頭文件告訴瀏覽器它很樂意這樣做。我錯過了什麼?W3C訪問控制規範保護什麼?
A
回答
1
你的理解聽起來正確。 CORS規範僅詳細說明一個域中的代碼如何訪問來自另一個域的數據,從而解決了相同域的限制。與任何其他Web請求相同的安全注意事項對於CORS仍然有效,並且您應該信任要從中加載數據的遠程服務器。如果您在服務器端實施CORS,則不應將CORS作爲唯一的安全機制。如果允許訪問某些受保護資源,則應在CORS請求之上分層授權機制,例如OAuth2。
相關問題
- 1. 爲什麼受保護訪問的Java規則是這樣的?
- 2. 什麼屬於控制器規範,屬於請求規範?
- 3. RESTEasy Response與W3C規範
- 4. 是什麼?是指在W3C CSS規範的標記化部分?
- 5. 爲什麼沒有將innerHTML添加到w3c規範中?
- 6. 基類訪問規範與類成員訪問規範
- 7. ParseObject()保護訪問
- 8. symfony2:允許cronjob訪問fosuserbundle受保護的控制器動作
- 9. 受保護字段外部包的Java訪問控制
- 10. 如何控制類規範
- 11. 控制器規範和default_url_options
- 12. 爲什麼不是rspec爲控制器生成規範?
- 13. 爲什麼檢查訪問規範的靜態數據成員
- 14. 爲什麼只要訪問受保護,對象就無法訪問?
- 15. $範圍未更新 - 控制器規範
- 16. 保護不能訪問不同的包子類爲什麼?
- 17. 爲什麼next(int)在java.util.Random中保護訪問?
- 18. Pylint W0212保護訪問
- 19. 訪問PHP保護性
- 20. 保護Dropbox訪問令牌
- 21. 保護訪問修飾符
- 22. 保護URL訪問在Magento
- 23. 受保護的訪問
- 24. 保護訪問類型
- 25. C++受保護的訪問
- 26. 根據Rails中的訪問控制規則做範圍搜索的最佳方式是什麼?
- 27. yii控制器中的訪問控制過濾器規則
- 28. Java受保護的變量訪問和修改規則
- 29. 爲什麼W3C XML Schema規範允許整數具有前導零?
- 30. 從角度訪問子控制器的控制器範圍