為什么沒有更多的oEmbed提供商在其端點上啟用跨域資源共享?
[英]Why don't more oEmbed providers enabled cross-domain resource sharing on their end points?
問題描述
似乎大多數(如果不是全部)oEmbed提供者端點沒有啟用CORS。 這意味着我必須使用JSONP(對於那些支持它的人)或通過服務器代理只是為了使用oEmbed。
有一個公司政策反對使用來自第三方提供商的JSONP,但我仍然希望以純粹的客戶端方式利用oEmbed(對於我們信任的某些提供商)。 我理解oEmbed消費者的安全隱患以及為什么他們可能不希望將第三方標記直接放入他們的頁面,但為什么提供商會限制這一點呢? 如果我構建了一個服務器代理並且沒有過濾結果,我可能很容易出現XSS漏洞。
1 個解決方案
解決方案1
1 2011-12-12 06:58:59
只是猜測:
它可能與預檢請求有關。 CORS規范聲明客戶端應該在許多情況下發送額外的OPTION請求(基本上,對於非常基本的GET或POST之外的任何事情)。 這意味着,在服務器端,只需提供CORS就可以將傳入的請求加倍,也許額外的負載是不可接受的。
IIS7.5下的SignalR webapp不適用於從其他webapp(跨域)進行的Firefox訪問
[英]SignalR webapp under IIS7.5 don't works on Firefox access from other webapp(cross-domain)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.