Javascript 关于XMLHttpRequest上的同源限制
我想对于Javascript 关于XMLHttpRequest上的同源限制,javascript,xmlhttprequest,same-origin-policy,Javascript,Xmlhttprequest,Same Origin Policy,我想对于XMLHttpRequest的同源限制有一些我不理解的地方 与其禁止Javascript代码向不同的主机发送http请求(对于合法的使用来说,这真的很烦人),在这种情况下,只允许请求而不发送或接受cookie不是更好吗 在我看来,禁止某个特定脚本获得互联网上其他人都能获得的东西,乍一看是一个相当奇怪的选择 我错过了什么 与其禁止Javascript代码向不同的主机发送http请求(对于合法的使用来说,这真的很烦人),在这种情况下,只允许请求而不发送或接受cookie不是更好吗 这就是具体
XMLHttpRequest
的同源限制有一些我不理解的地方
与其禁止Javascript代码向不同的主机发送http请求(对于合法的使用来说,这真的很烦人),在这种情况下,只允许请求而不发送或接受cookie不是更好吗
在我看来,禁止某个特定脚本获得互联网上其他人都能获得的东西,乍一看是一个相当奇怪的选择
我错过了什么
与其禁止Javascript代码向不同的主机发送http请求(对于合法的使用来说,这真的很烦人),在这种情况下,只允许请求而不发送或接受cookie不是更好吗
这就是具体规定
应用程序在使用用户凭据发出跨源请求时必须始终小心,处理此类请求的服务器在使用凭据(包括源标头)时必须小心
在我看来,禁止某个特定脚本获得互联网上其他人都能获得的东西,乍一看是一个相当奇怪的选择 我错过了什么
web标准机构花了一段时间才意识到,人们会希望编写严重依赖JavaScript的应用程序。Gmail改变了这一切,但像W3C这样的标准机构需要一段时间来填补功能漏洞。您的建议最初可以保存用户数据,避免被利用,但这仍然意味着代码可以从任何其他潜在的恶意域运行,然后,它可以读取和传输cookie数据,而无需在请求中隐式发送。我想现在的情况是安全性和灵活性之间的最佳折衷。我明白你的意思。。。然而,当安全性是基于要求用户代理执行的检查时,我总是感到不舒服。在我薄薄的礼帽下,我甚至可以听到一个声音说,在用户端推动安全性在技术上是胡说八道,但在战略上很重要,以便能够在未来宣称,您需要控制用户端允许运行的内容。