[英]Few questions about CORS and AJAX
因此,我希望提出一些跨域AJAX請求,並希望檢查一些內容。
Access-Control-Allow-Origin
標頭。 除了允許每個站點都發出請求之外,將其設置為*
還會有安全隱患嗎? 是否可以使CORS在IE <8上工作?
不幸的是沒有。 微軟的XDomainRequest直到IE8才出現。
除了允許每個站點都發出請求外,將Access-Control-Allow-Origin設置為*是否有安全隱患?
嚴格來說不,但這本身就帶來了一系列潛在的安全問題。 除非您需要所有允許的來源,否則最好配置白名單。
從客戶端安全的角度來看,默認情況下,CORS請求不會將cookie發送到我向其發出AJAX請求的服務器。 但是,有可能。 這句話正確嗎?
是,對的。 如果要包括cookie,則必須配置XHR的withCredentials
屬性。
附加信息:
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.