(如果没有,它是否真的提高了客户端的安全性?)
我正在考虑服务器 X 的脚本使用 XHR 从服务器 Y(支持 CORS)获取和运行不受信任的代码的情况。
(显然评估不受信任的代码是不好的™)
【问题讨论】:
标签: javascript ajax xmlhttprequest same-origin-policy cors
我根本不使用 CORS 来提高安全性。我使用 CORS 访问不同域上的已知 Web 服务,如果没有 CORS,我将无法访问。在我看来,这与提高安全性无关,而是允许将来自一个域的数据委托给另一个域。
【讨论】:
CORS 颠覆了同源策略,但有选择性。例如,银行网站域根本不会设置 CORS 标头(以保持同源完全有效),因为从其他域下载的任何 JavaScript 都不应该向银行发出 AJAX 请求(或者他们可能只允许他们信任的合作伙伴网站)。 CDN 可能会设置 Access-Control-Allow-Origin "*",因为它不关心从另一个域下载的 JavaScript 是否正在向 CDN 发出 AJAX 请求。
【讨论】:
CORS 不是关于强化安全性,而是关于削弱它(但仅在获得服务器许可的特定条件下)。
如果您想在 AJAX 请求中从另一个服务器访问某些内容,而没有 CORS,则由于“安全性”(同源策略)而不允许您访问,这就是它的结尾*。使用 CORS,其他服务器可以授予权限以减少该安全障碍。
* 除了像 JSONP 这样的 hack,但这也需要服务器的许可
【讨论】: