为什么没有更多的oEmbed提供商在其端点上启用跨域资源共享?
[英]Why don't more oEmbed providers enabled cross-domain resource sharing on their end points?
问题描述
似乎大多数(如果不是全部)oEmbed提供者端点没有启用CORS。 这意味着我必须使用JSONP(对于那些支持它的人)或通过服务器代理只是为了使用oEmbed。
有一个公司政策反对使用来自第三方提供商的JSONP,但我仍然希望以纯粹的客户端方式利用oEmbed(对于我们信任的某些提供商)。 我理解oEmbed消费者的安全隐患以及为什么他们可能不希望将第三方标记直接放入他们的页面,但为什么提供商会限制这一点呢? 如果我构建了一个服务器代理并且没有过滤结果,我可能很容易出现XSS漏洞。
1 个解决方案
解决方案1
1 2011-12-12 06:58:59
只是猜测:
它可能与预检请求有关。 CORS规范声明客户端应该在许多情况下发送额外的OPTION请求(基本上,对于非常基本的GET或POST之外的任何事情)。 这意味着,在服务器端,只需提供CORS就可以将传入的请求加倍,也许额外的负载是不可接受的。
IIS7.5下的SignalR webapp不适用于从其他webapp(跨域)进行的Firefox访问
[英]SignalR webapp under IIS7.5 don't works on Firefox access from other webapp(cross-domain)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.