[英]Few questions about CORS and AJAX
因此,我希望提出一些跨域AJAX请求,并希望检查一些内容。
Access-Control-Allow-Origin
标头。 除了允许每个站点都发出请求之外,将其设置为*
还会有安全隐患吗? 是否可以使CORS在IE <8上工作?
不幸的是没有。 微软的XDomainRequest直到IE8才出现。
除了允许每个站点都发出请求外,将Access-Control-Allow-Origin设置为*是否有安全隐患?
严格来说不,但这本身就带来了一系列潜在的安全问题。 除非您需要所有允许的来源,否则最好配置白名单。
从客户端安全的角度来看,默认情况下,CORS请求不会将cookie发送到我向其发出AJAX请求的服务器。 但是,有可能。 这句话正确吗?
是,对的。 如果要包括cookie,则必须配置XHR的withCredentials
属性。
附加信息:
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.