【发布时间】:2019-09-04 08:12:49
【问题描述】:
让我们考虑以下场景:
- 用户在允许
CORS的现代浏览器之一中加载https://foo.com/index.html。 -
index.html通过script标记从https://bar.com/script.js加载 javascript。 - 考虑一个假设情况,即此
script.js从未被缓存并且script.js的内容已更改。 -
script.js向https://baz.com发出XHR请求 -
https://baz.com已启用Access-Control-Allow-Credentials: *,因此由script.js制作的XHR会通过。 - 重要的用户信息现在可以传递给
https://baz.com,这是一个安全风险。
在CORS 之前,XHR 调用严格遵循同源策略,因此浏览器不允许从https://foo.com 调用https://baz.com。
我想知道https://foo.com/index.html 是否有办法指定XHR 允许的域名列表,这样就不会出现上述情况。
高度赞赏任何指针。
[更新]
I guess I have found the answer to my question.
谢谢你的体贴????
最好的!
【问题讨论】:
标签: javascript xmlhttprequest cross-domain fetch-api content-security-policy