0
是否正确,请求头中没有“Origin”的请求与受CORS保护的资源访问控制 - 允许源设置为特定的fqdn的请求是否接收到正确的200响应?CORS请求是否允许使用Origin?
我期待着一个错误,比如当Origin被设置为一个不同的fqdn而不是被允许的错误时,它完美地工作。
A
回答
0
CORS保护旨在防止使用您的证书在另一个网站上触发一个网站的活动,例如, A.com上的脚本通过AJAX请求向B.com发布数据。
如果站点触发对不同域*的请求,Origin标头将自动由浏览器设置(并且不能被重写)。这是根据第二个站点上的'Access-Control-Allow-Origin'标头进行检查的。
如果您在浏览器中直接访问B.com,那么Origin将会是空白的,因为您位于同一个站点:CORS不相关。手动设置Origin标题将模仿限制行为,但CORS不是为了保护用户而设计的。
*某些类型的请求(例如加载图像或脚本)没有阻止CORS保护
相关问题
- 1. 请求允许为
- 2. Access-Control-Allow-Origin不允许Origin null。
- 3. 请求允许动态
- 4. Tomcat不允许PUT请求
- 5. GitHub - 只允许拉请求
- 6. 错误:只允许请求
- 7. Apache是否允许基于子请求的结果授权HTTP请求?
- 8. SAML身份验证请求中是否允许属性?
- 9. HTTP请求中是否允许多个Cookie标头?
- 10. websocket升级是否仍然允许http ajax请求?
- 11. 转发后是否允许重定向请求?
- 12. 是否允许HTTP POST请求发回响应主体?
- 13. Jquery - 使用POST请求,这是不允许的错误
- 14. BaseAdapter不允许调用请求动作
- 15. Chrome扩展xhr跨域请求给出错误:“Access-Control-Allow-Origin不允许”。
- 16. $ http.post请求标头字段Access-Control-Allow-Headers错误不允许Access-Control-Allow-Origin
- 17. iOS:是否允许使用libIOKit.dylib
- 18. 是否允许使用静态setter/getters?
- 19. nasm:是否允许使用“global _start:”?
- 20. 是否允许使用匿名函数?
- 21. CORS是否允许使用“Prefer”标头?
- 22. 不允许文件夹浏览但允许文件请求(Apache)
- 23. Chrome不允许向允许的域发送Ajax请求
- 24. 允许请求允许在运行时不工作
- 25. 请求头字段访问控制允许来源是不允许
- 26. 是否允许业务经理系统用户请求访问页面?
- 27. 请求的资源上是否存在“Access-Control-Allow-Origin”头?
- 28. 访问控制允许Origin | AngularJS
- 29. Access-Control-Allow-Origin不允许来源?
- 30. 您刚才的请求不允许
你观察一个Web浏览器不发送的Origin标? CORS由浏览器强制执行。服务器可能会或可能不会注意Origin标头。 – AgentME 2014-09-26 22:57:43
不,我直接向浏览器的CORS保护的资源发出请求,如果我在header中指定了Origin,它会被阻止,但是如果我没有指定Origin就可以工作,所以我想知道这是否正确。 – 2014-09-26 23:05:52
您不能覆盖CORS AJAX请求中的Origin标头(除非服务器在Access-Control-Allow-Headers中指定Origin,这可能很奇怪,可能也是安全漏洞)。 Origin头文件会自动由您的浏览器设置CORS请求。如果这不是你的问题所在,请包含一个代码示例,因为它不清楚发生了什么。 – AgentME 2014-09-26 23:12:26