HTTP 沙箱

来源:wizardforcel 浏览 536 扫码分享 2018-10-23 23:30:59

在网页脚本中发出 HTTP 请求，再次引发了安全性的担忧。控制脚本的人的兴趣可能不同于正在运行的计算机的所有者。更具体地说，如果我访问themafia.org，我不希望其脚本能够使用来自我的浏览器的身份向mybank.com发出请求，并且下令将我所有的钱转移到某个随机帐户。

出于这个原因，浏览器通过禁止脚本向其他域（如themafia.org和mybank.com等名称）发送 HTTP 请求来保护我们。

在构建希望因合法原因访问多个域的系统时，这可能是一个恼人的问题。幸运的是，服务器可以在响应中包含这样的协议头，来明确地向浏览器表明，请求可以来自另一个域：

Access-Control-Allow-Origin: *

当前内容版权归 wizardforcel 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 wizardforcel .

本文档使用 BookStack 构建