Access-Control-Allow-Origin 的原因是什么？ [复制]

Question

我试图理解 HTTP 基本语句，因为它没有按我的预期工作。

例如我将Access-Control-Allow-Origin 设置为http://www.example.com，并尝试从http://www.example2.com 发送POST 请求，但出现了我预期的错误。

上面写着...request has been blocked by CORS policy。 但我想知道什么时候看到该请求实际上是在 http://www.example.com 上完成的，并且调用了 POST 操作。

那么问题来了，为什么我们需要protection？

Answer 1

当一个网页被加载到浏览器中时，它的 HTML、CSS、Javascript 被加载，它的会话正在被使用。许多潜在问题中的一些：

1. iframe 中的远程页面可能是您登录的页面（例如您的个人电子邮件帐户的网页），并且蜘蛛可以悄悄窃取重要数据（例如您的电子邮件内容，包括访问机密区域，例如银行账户相关数据、个人、私人数据等）

2. 机密的 CSS/Javascript 可能会从受信任的用户那里窃取。示例：您使用 Javascript 和 CSS 创建了一些非常好的代码，并且只有付费用户才能使用它们的好处。但是，有人向您发送了一个链接，该链接指向一个页面，该页面将您的网站作为 iframe 静默加载，并从中提取 CSS 和 Javascript 好东西。然后窃取者会以折扣价出售您的产品，您可以开发新产品并制定更好的安全策略。

3. 您的帐户可能被黑客入侵。可以在 iframe 中加载您有活动会话的页面，然后蜘蛛可能会在那里造成严重破坏，包括但不限于更改您的用户名/密码以及将您排除在您自己的帐户之外。

4. 可以以你的名义对他人进行恶意行为。