正如我从这篇文章中学到的,当从www.a.com发出AJAX请求到时www.b.com,是由www.b.com决定是否应允许该请求。
不完全的。该请求未被阻止。
默认情况下,运行的JavaScript www.a.com禁止访问的响应www.b.com。
CORS允许www.b.com授予JavaScript www.a.com访问权限。
但是,在这种模式下,什么可以在客户端上完全保证呢?
它使作者的访问者www.a.com无法www.b.com使用访问了两个站点并通过身份验证www.b.com(因此可以访问非公开数据)的用户的浏览器读取数据。
例如,爱丽丝已登录Google。爱丽丝访问malicIoUs.example使用XMLHttpRequest从中访问数据gmail.com。爱丽丝有一个GMail帐户,因此响应中的收件箱中包含最近发送的电子邮件列表。相同的来源策略会阻止malicIoUs.example读取它。
602392714
清零编程群