chrome禁用网络安全，为什么应该允许？

Question

据我所知，“Access-Control-Allow-Origin”被用作 CORS 的一部分，以限制哪些主机可以从给定的 api 服务器请求数据。此标志/变量值由服务器设置为响应的一部分。

我确实偶然发现了这个chrome extension，上面写着：

允许您从任何来源请求任何带有 ajax 的网站。添加 响应 - 'Access-Control-Allow-Origin: *' 标头

开发者工具。

摘要添加到响应头规则 - 'Allow-Control-Allow-Origin: *'

提示 使用 chrome 标志可以获得相同的行为 [http://www.chromium.org/developers/how-tos/run-chromium-with-flags]

chrome --disable-web-security

或

--allow-file-access-from-files --allow-file-access --allow-cross-origin-auth-prompt

这意味着我可以从客户端更改响应标头。所以这意味着如果我在服务器上设置：'Access-Control-Allow-Origin：http://api.example.com'这个设置可以被客户端'Access-Control-Allow-Origin：*'覆盖。或者可能是我不想支持 cors - 所以我没有设置它，但这仍然会显示我支持 CORS。

如果是这样，我的服务器端设置有什么意义？这不是多余的吗？？

可能是我太天真了，没有了解它的基础。

Answer 1

CORS 是一种保护客户端免受 CORF 或跨域请求伪造的安全功能。它并非旨在保护服务器，因为客户端可以简单地选择忽略它们。

CORF 的一个示例是访问一个网站，该网站上的客户端代码代表您与另一个网站交互，执行诸如向网站提交数据或读取需要以您身份进行身份验证的数据等操作，所有这些都使用您的活动的身份验证会话。

理论上，如果没有 CORS，就可以创建一个网站，从网络邮件提供商处获取您的电子邮件（前提是您当时已登录），然后将其发回服务器以供恶意个人阅读。

为避免这种情况，您不应在禁用此类安全功能的情况下浏览网页。它可用于简化开发，而不是用于一般浏览。